【Paloalto】UTM(URLフィルタリング)の設定と動作確認 PANOS9.0.9-h1.xfr

Paloalto

以下の記事を前提とします。SSL復号化する前提でのURLフィルリングの動作を確認します。先にお読みいただくことをお勧めします。

>> 参考記事 : SSL復号化(SSL Forward Proxy)の設定と動作確認 PANOS9.0.9-h1.xfr

今回は、ストリーミングメディアのカテゴリをブロック設定にし、Youtubeが閲覧できないことを確認します。

スポンサーリンク

URLカテゴリデータベースの更新

PAN-OS 9.0以降は、筐体内にURLカテゴリデータベース(PANDB)はダウンロードされません。PAN-DBへ直接問い合わせをし、結果をキャッシュします。詳細は、以下のガイドを確認してください。

PAN-DB Categorization
スポンサーリンク

URLフィルタリングの設定

Paloaltoでは、セキュリティポリシーにURLフィルタリングのプロファイルを適用することで、フィルタが有効になります。

Policies >> セキュリティへ移動し、LANからInternetへのポリシーから、アクションタブへ移動します。

プロファイル設定  >> URL フィルタリング から新規作成します。

以下の画面で、名前を任意の名前(今回はCustomとします)を設定し、カテゴリタブのカテゴリでstreaming mediaサイトアクセスをallowからblockに変更し、OKをクリックします。

URL フィルタリングのプロファイルにCustomが適用されていることを確認し、OKをクリックします。

では、コミットを実行し、端末で動作確認をします。

スポンサーリンク

動作確認

SSL復号化あり block

端末からYoutubeへアクセスすると、以下のようなブロック画面が表示されます。カテゴリがstreaming-mediaブロックされていることがわかります。

Monitor >> ログ >> URL フィルタリングへ移動することで、ログも確認できます。 今回は、SSL復号化をしている(復号化がyes)ことを確認してください。

SSL復号化あり continue

今度は、CustomプロファイルのアクションをblockからContinueに変更して、動作を確認します。

コミット実行後、Youtubeへアクセスすると、以下のブロック画面が表示されます。

Monitor >> ログ >> URL フィルタリングへ移動すると、アクションがblock-continueでログが記録されています。

Continueをクリックすることで、Youtubeへアクセスできます。

Monitor >> ログ >> URL フィルタリングへ移動すると、アクションがcontinueでログが記録されています。

次に、SSL復号化をしない場合のYoutubeサイトへのアクセスについて確認します。

SSL復号化無し

Polices > 復号 へ移動し、復号化ポリシーを選択の上、すべてのポリシーを無効化し、コミットを実行します。 無効化されたポリシーは薄い文字表示に変更されます。

Youtubeへアクセスすると、アクセスができませんが、ブロックページが表示されません。 SSL復号化をしないと、ブロックページが表示されないことが確認できます。

Monitor >> ログ >> URL フィルタリングへ移動することで、ログも確認できます。 今回は、SSL復号化をしていない(復号化がno)ことを確認してください。

SSL復号化をせずに、URLの応答ページを表示したい場合は、以下の記事を参照ください。

How to Serve a URL Response Page Over an HTTPS Session Without SSL Decryption
Details This document describes how to configure the Palo Alto Networks device to serve a URL response page over an HTTPS session without SSL decryption.

参考

URL Filtering

コメント

タイトルとURLをコピーしました