如何测试XFF的安全策略功能?

如何测试XFF的安全策略功能?

12280
Created On 11/17/22 15:18 PM - Last Modified 01/03/25 03:34 AM


Objective


安全策略模式下的XFF允许在XFF IP 而不是源 IP 上实施安全策略。此功能是在 PAN-OS 10.0 中引入的
本知识文章将帮助读者清楚地了解安全策略的XFF
  • 什么是XFF?
  • XFF如何使用?
  • 启用安全规则的XFF需要哪种配置?
  • 如何配置XFF控制数据包的安全规则
  • 如何监视器流量日志和 URL过滤日志中的XFF信息
  • HTTPS会话

Environment


  • PAN-OS 10.0 或更高版本
  • X-Forwarded-For(X 转发-XFF)-For (XFF)

Procedure


  • 什么是XFF?
X-Forwarded-For(X 转发-XFF)-For是一个HTTP标头
X-Forwarded-For(X 转发-XFF)-For是一个标头,用于披露有关发起HTTP请求的客户端的信息,例如 IP 地址
图片.png
  • XFF如何使用?
代理可以将XFF标头注入HTTP请求
Web 服务器、防火墙等可以使用它来确定原始客户端 IP
图片.png
  • 启用安全规则的XFF需要哪种配置?
在设备 > 设置 > Content-ID > X-Forwarded-For(X 转发-XFF)-For标头下配置
图片.png
可以在URL过滤配置文件中启用XFF日志记录。这不能添加到“默认” URL 过滤配置文件中。我创建了 defaul-1。
图片.png
  • 我们如何配置安全规则来控制XFF的数据包?
配置了 2 条规则来匹配 SRC IP 或XFF IP:
图片.png
  • 我们如何监视器流量日志和URL过滤日志中的XFF信息?
如果我发送XFF IP 为 10.1.1.1 的HTTP请求:
# curl -H “ X-Forwarded-For(X 转发-XFF)-For: 10.1.1.1” http://portquiz.net
图片.png
现在有一个XFF IP 为 10.1.1.1,因此它与“XFF_IP_Rule”规则匹配。
流量日志显示 x-fwd-for: 10.1.1.1 作为“X-FORWARDED-FOR IP”
图片.png

URL过滤日志显示 x-fwd-for: 10.1.1.1 为 ?源用户?。仅当流量触发警报操作(如阻止、继续或警报)时才会记录
图片.png

如果没有XFF IP,那么它会像往常一样匹配规则“SRC_IP_Rule”。
图片.png
图片.png
图片.png

  • HTTPS会话
对于HTTPS会话,检查会话是否已解密。必须解密HTTPS才能读取XFF 。
图片.png

如果我发送XFF IP 为 10.1.1.1 的HTTPS请求:
# curl -k --header “ X-Forwarded-For(X 转发-XFF)-For: 10.1.1.1” https://portquiz.takao-tech.com
图片.png
图片.png图片.png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kFEpCAM&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language