1.Giới thiệu
Bài viết này sẽ hướng dẫn người dùng tường lửa Palo Alto về các cấu hình cơ bản với URL Filtering.
Bài viết này sẽ hướng dẫn các cấu hình sau :
- Tạo một URL Category tùy chỉnh và sử dụng nó làm tiêu chí phù hợp với Security Policy rule và là một phần của URL Filtering Profile.
- Tạo URL Filtering Profile và quan sát sự khác biệt giữa việc sử dụng url-category trong Security policy so với 1 Profile.
- Xem lại các mục nhật ký tường lửa để xác định tất cả các hành động và thay đổi.
2. Hướng dẫn cấu hình
Chúng ta có sơ đồ mạng như sau
2.1 Tạo a Security Policy Rule với 1 Custom URL Category
Sử dụng một đối tượng URL Category tùy chỉnh để tạo danh sách URL tùy chỉnh của bạn và sử dụng nó trong URL Filtering hoặc làm tiêu chí phù hợp trong Security policy rule. Trong URL Category tùy chỉnh, bạn có thể thêm các mục nhập URL riêng lẻ hoặc nhập tệp văn bản có chứa danh sách URL.
Để tạo URL Category vào Objects > Custim Objects > URL Category > Click Add.
Cấu hình theo các thông số sau :
- Name : tech-sites
- Sites : newegg.com, engadget.com, techradar.com, *.newegg.com, *.engadget.com, *.techradar.com.
Bấm OK để lưu.
Vào Security > Policies để tạo Security policy rule.
Chọn egress-outside-content-id mà không bật nó và click Clone.
Cửa sổ Clone hiện ra, chọn Move Top từ danh sách thả xuống cho Rule order.
Bấm OK để clone.
Với egress-outside-content-id Security policy rule vẫn đang được chọn, bấm Disable.
Mở Security policy rule vừa được clone với tên egress-outside-content-id-1 và cấu hình với các thông số sau :
- Name : egress-outside-url
Ở Application tab cấu hình các thông số sau :
- Applications : Any
Ở Service/URL Category cấu hình như sau :
- URL Category : tích chọn tech-site từ danh sách thả xuống
Ở tab Action cấu hình như sau :
- Action Setting : Reset both client and server
- Log Setting : Tích chọn Log at Session End.
- Profile Setting : None
Bấm OK để lưu.
Di chuột qua cột Tên và nhấp vào mũi tên xuống.
Mở rộng menu Cột bằng mũi tên phải và xác minh rằng hộp kiểm URL Category đã được chọn.
Lưu ý: Vì bạn đã tạo quy tắc đặt lại lưu lượng truy cập, bạn cần bật quy tắc egress-outside để cho phép mọi thứ khác.
Bấm Commit để cam kết thay đổi.
2.2 Kiểm tra Security Policy Rule với URL Category
Mở trình duyệt web và truy cập vào 2 trang techradar.com và engadget.com.
URL bị chặn bởi Security policy rule có tên là egress-outside-url.
2.3 Kiểm tra Log
Trong giao diện quản trị, chọn Policies > Security và di chuột qua egress-outside-url Security policy rule, nhấp vào mũi tên xuống và chọn Log Viewer để mở Traffic Log.
Chọn URL Filtering log.
Lưu ý rằng URL Filtering log bao gồm các cột Category và URL theo mặc định.
2.4 Tạo một Security Policy Rule với URL Filtering Profile
Vào Objects > Security Profiles > URL Filtering > Click Add để tạo với các thông số sau:
- Name : lab-url-filtering
Ở Category tab tìm và chọn các danh mục như sau và chọn block ở Site Access.
Bấm OK để lưu.
Vào Policies > Security để áp dụng URL Filtering profile vừa tạo.
Mở egress-outside-url Security policy rule lên.
Ở tab Service/URL Category, chọn Any phía dưới danh sách URL Category.
Ở Action tab cấu hình theo các thông số sau :
- Action : Allow
- Profile Setting : chọn Profiles tại Profile Type và chọn lab-url-filtering tại URL Filtering.
Bấm OK để lưu.
Disable rule egress-outside.
Lưu ý: Bạn có thể vô hiệu hóa rule egress-outside vì URL Filtering Profile đang được sử dụng và Security policy rule egress-outside-url hiện cho phép lưu lượng truy cập.
2.5 Thực hiện kiểm tra Security Policy Rule với URL Filtering Profile
Mở một trình duyệt khác (không phải tab mới) ở chế độ riêng tư / ẩn danh và duyệt đến www.newegg.com. URL www.newegg.com thuộc URL Category Shopping. Dựa trên Security policy rule có tên là egress-outside-url, URL hiện được phép ngay cả khi bạn chọn chặn danh mục Shopping vì Custom URL category của bạn có newegg.com được liệt kê và được đặt là Allow, và custom category của bạn được ưu tiên trước các URL Category của Palo Alto Networks.
Trong cùng một cửa sổ trình duyệt, hãy xác minh rằng http://www.transportation.gov (chính phủ) và http://www.2600.org (hack) đã bị chặn.
2.6 Kiểm tra Log
Vào Monitor > Logs > URL Filtering.
Xem lại các hành động được thực hiện trên các mục sau.
Bạn sẽ thấy các mục cho 2600.org, transportation.com và newegg.com.