Embed Size (px)
Citation preview
08/07/2019 Palo Alto Networks Knowledgebase: Comment faire pour bloquer un Site HTTPS spécifique avec filtrage des URL
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIPCA0&lang=fr 1/6
20922
COMMENT FAIRE POURBLOQUER UN SITE HTTPSSPÉCIFIQUE AVEC FILTRAGEDES URLCreated On 02/07/19 23:49 PM - LastUpdated 02/07/19 23:50 PM
ResolutionVue d’ensembleFiltrage d’URL présente certains défis lors du blocage d’un siteHTTPS spécifique et, en même temps, ce qui permet à tout lereste au titre de ce site.
Par exemple, l'exigence est de bloquer"https://public.example.com/extension1/a", mais autoriser"https://public.example.com/extension1/b".
À l’aide de stratégies de sécurité et les catégories d’URLpersonnalisé correspondra uniquement le « Délivré à »commune nom (CN) sur le certificat envoyé par le site.
Remarque: avec la version de Pan-OS 6,0, il y a unecorrespondance supplémentaire dans le champ SNI, qui estprésenté sur le client SSL "Hello message". Pour plus de détails,consultez: résolution de la catégorie d'url dans la politique dedécryptage lorsque plusieurs URL sont derrière la mêmeadresse IP.
L’exemple de capture d’écran ci-dessous montre la valeur denom commun comme « *. example.com ».
Actions
Copy Link
Attachments
ChooseLanguage
French
Support Home
Resources
Other usersalso viewed:
Sign InFind answers
08/07/2019 Palo Alto Networks Knowledgebase: Comment faire pour bloquer un Site HTTPS spécifique avec filtrage des URL
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIPCA0&lang=fr 2/6
Une stratégie de sécurité peut bloquer « *. example.com »,mais cela se traduira dans le blocage de l’ensemble du site.Puisque ce n'est pas le résultat souhaité, un profil de filtrageURL doit être configuré. Toutefois, le problème avec le profil defiltrage URL, est que le pare-feu doit se pencher sur la sessionpour pouvoir ramasser l’URL complète. La session est crypté ssl,et le pare-feu ne peut pas inspecter pour appliquer le filtraged’URL, sauf si une politique de décryptage est activée sur letrafic.
Déchiffrement devrait être mis en œuvre avec soin. Si pas déjàmis en œuvre sur le pare-feu, l’objectif consiste à configurer ledéchiffrement pour inspecter le trafic souhaité. Dans unepolitique de décryptage, il y a une option de catégorie d’URL.Déchiffrement ne connaît pas la sous-page spécifique sur lesite https tenu de bloquer, car il fonctionne de la mêmemanière comme une stratégie de sécurité. La politique dedéchiffrement vérifiera la « délivré à CN » sur le certificatprésenté. Si elle correspond à la mise sous « Catégorie del’URL », puis il va décrypter la session SSL.
Ceci est utile lors du déchiffrement trafic uniquement pour *.example.com, mais l’application d’un filtre d’URL à ne bloquerque si un utilisateur accède à :public.example.com/extension1/a
Remarque: "https://" a été supprimé de l'URL ci -dessus.
ÉtapesSuivez les étapes ci-dessous pour configurer le comportementdésiré :
1. Accédez aux objets > objets personnalisés > URL catégorie,ajouter une catégorie d’URL personnalisée nommée« Exemple liste noire ». Ajoutezpublic.example.com/extension1/a en tant qu'URL, n'ajoutezpas https:// à la liste d'
Sign InFind answers
08/07/2019 Palo Alto Networks Knowledgebase: Comment faire pour bloquer un Site HTTPS spécifique avec filtrage des URL
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIPCA0&lang=fr 3/6
URL. 2. Accédez aux objets > objets personnalisés > URL catégorie,
ajouter une catégorie d’URL personnalisée nommée« Wildcard liste noire ». Ajouter *. example.com à la listed’URL.
3. Accédez aux objets > profils de sécurité > filtrage d’URL,créer un profil de filtrage d’URL nommé « Sur la liste noiredes Sites HTTPS » avec « Exemple Blacklist » Custom URLcatégorie avec action * bloc * (elle figurera sur les catégories
Sign InFind answers
08/07/2019 Palo Alto Networks Knowledgebase: Comment faire pour bloquer un Site HTTPS spécifique avec filtrage des URL
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIPCA0&lang=fr 4/6
de bloc pour le profil de filtrage d’URL)
4. Allez aux politiques > sécurité, ajouter une stratégie desécurité de confiance à untrust trafic nommé « Refuser lesSites HTTPS », laisser l’action afin de permettre, sélectionnezParamètres du profil > Profil Type et sélectionnez les profils.Sélectionnez « Sites HTTPS sur la liste noire » de filtraged’URL.
5. Allez dans appareil > Certificate Management > certificats,générer deux certificats auto-signés de CA, un nommé « Palo
Sign InFind answers
08/07/2019 Palo Alto Networks Knowledgebase: Comment faire pour bloquer un Site HTTPS spécifique avec filtrage des URL
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIPCA0&lang=fr 5/6
Alto décryptage de confiance » et un nommé « Palo Altodéchiffrement non fiable ». Le CN sur les certificats peut êtreIP fiables du pare-feu pour « Palo Alto déchiffrement nonfiable », et autre chose recherché pour « Palo Altodéchiffrement fiable » (ce certificat à l’exportation et laplacer sur les utilisateurs à l’aide de stratégie de groupe).Ouvrez votre certificat « Palo Alto déchiffrement fiable »,cochez la case pour « Forward Trust Certificate ». Ouvrezvotre certificat « Palo Alto déchiffrement non fiables »,cochez la case « Untrust le certificat vers l’avant ».
6. Allez aux politiques > décryptage, ajouter undécryptage politique nommé « Déchiffrer sur la listenoire Sites », set source zone trust, l’untrust des fuseauhoraire de destination, sélectionnez URL catégorie« Générique liste noire » et des options d’Action :décrypter, Type : SSL avant Proxy.
Sign InFind answers
08/07/2019 Palo Alto Networks Knowledgebase: Comment faire pour bloquer un Site HTTPS spécifique avec filtrage des URL
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClIPCA0&lang=fr 6/6
7. Commit, https://public.example.com/extension1/a seradésormais bloqué.
propriétaire : mivaldi
Attachments
© 2018 Palo Alto Networks, Inc. All rights reserved.
COMPANY
About Palo Alto Networks
Careers
LEGAL NOTICES
Privacy
Terms of Use
RESOURCES
Support
Live Community
Email Subscription
Sign InFind answers
