보안 정책 기능 에 대해 XFF 테스트하는 방법은 무엇입니까?

보안 정책 기능 에 대해 XFF 테스트하는 방법은 무엇입니까?

12330
Created On 11/17/22 15:18 PM - Last Modified 01/03/25 03:32 AM


Objective


보안 정책 모드에서 XFF 사용하면 소스 IP 대신 XFF IP에서 보안 정책을 적용할 수 있습니다. 이 기능 PAN-OS 10.0에서 도입되었습니다.
이 지식 문서는 독자가 보안 정책을 위한 XFF 명확하게 이해하는 데 도움이 될 것입니다.
  • XFF 란 무엇인가요?
  • XFF 어떻게 사용되나요?
  • 보안 규칙 에 XFF 사용하려면 어떤 구성 필요합니까?
  • XFF 로 패킷을 제어하기 위한 보안 규칙 구성 방법
  • 트래픽 로그 및 URL 필터링 로그에서 XFF 정보를 모니터 방법
  • HTTPS 세션

Environment


  • PAN-OS 10.0 이상
  • X-Forwarded-For (XFF)-For (XFF)

Procedure


  • XFF 란 무엇인가요?
X-Forwarded-For (XFF) HTTP 헤더입니다
X-Forwarded-For (XFF)-For 는 IP 주소와 같은 HTTP 요청 시작한 클라이언트에 대한 정보를 공개하는 데 사용되는 헤더입니다.
이미지.png
  • XFF 어떻게 사용되나요?
프록시는 XFF 헤더를 HTTP 요청에 삽입할 수 있습니다.
웹 서버, 방화벽 등은 이를 사용하여 원래 클라이언트 IP가 무엇인지 확인할 수 있습니다.
이미지.png
  • 보안 규칙 에 XFF 사용하려면 어떤 구성 필요합니까?
장치 > 설정 > 콘텐츠 ID > X-Forwarded-For (XFF)-For 헤더에서 구성됨
이미지.png
XFF 로깅은 URL 필터링 프로필에서 활성화할 수 있습니다. 이것은 ? 디폴트? URL 필터링 프로파일 에 추가할 수 없습니다. 저는 defaul-1을 만들었습니다.
이미지.png
  • XFF 로 패킷을 제어하기 위한 보안 규칙 어떻게 구성 ?
SRC IP 또는 XFF IP와 일치하도록 2개의 규칙을 구성했습니다.
이미지.png
  • 트래픽 로그와 URL 필터링 로그에서 XFF 정보를 어떻게 모니터 할 수 있나요?
XFF IP가 10.1.1.1인 HTTP 요청 보내면:
# curl -H " X-Forwarded-For (XFF)-For: 10.1.1.1" http://portquiz.net
이미지.png
이제 10.1.1.1의 XFF IP가 있으므로 ?XFF_IP_Rule? 규칙 과 일치합니다.
트래픽 로그 x-fwd-for: 10.1.1.1이 ?X-FORWARDED-FOR IP?로 표시됩니다.
이미지.png

URL 필터링 로그는 x-fwd-for: 10.1.1.1을 ? 소스 사용자?로 표시합니다. 이는 트래픽이 경고(예: 차단, 계속 또는 경고)를 발생시키는 작업에 도달하는 경우에만 기록합니다.
이미지.png

XFF IP가 없으면 평소처럼 규칙 ?SRC_IP_Rule?과 일치합니다.
이미지.png
이미지.png
이미지.png

  • HTTPS 세션
HTTPS 세션의 경우 세션 복호화되었는지 확인하세요. XFF 를 읽으려면 HTTPS 복호화되어야 합니다.
이미지.png

XFF IP 주소 10.1.1.1로 HTTPS 요청 보내면:
# curl -k --header " X-Forwarded-For (XFF)-For: 10.1.1.1" https://portquiz.takao-tech.com
이미지.png
이미지.png이미지.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFEpCAM&lang=ko&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language