Verkehrsprotokolle zeigen URL Kategorie als jede für bestimmte Sicherheit an URL Policy
14980
Created On 06/11/20 09:17 AM - Last Modified 03/26/21 16:19 PM
Question
Warum wird in den Verkehrsprotokollen die URL Kategorie als "Any" für eine URL bestimmte Sicherheit Policy angezeigt, wenn die Anwendung entweder "unvollständig" oder "ssl" ist?
Answer
Wenn Sicherheitsrichtlinien zum ersten Mal für eine neue Sitzung gesucht werden, werden Layer-7-Daten nicht berücksichtigt, sodass eine URL bestimmte Sicherheit weiterhin zugeordnet werden Policy kann.
Eine "unvollständige" Anwendung bedeutet, dass entweder der Drei-Wege-Handshake TCP nicht abgeschlossen wurde oder der Drei-Wege-Handshake TCP abgeschlossen wurde, aber es gab keine Daten nach dem Handshake, um die Anwendung zu identifizieren. Daher haben wir noch nicht die Daten, um die oder die Kategorie zu URL URL identifizieren, und daher wird die URL Kategorie als "Any" angezeigt.
Eine "ssl"-Anwendung bedeutet, dass wir genügend Datenverkehr haben, um die Firewall zu passieren, um die Sitzung als zu SSL identifizieren. Wenn die URL Kategorie als "Any" angezeigt wird, dann könnte dies daran liegen, dass das Feld Servername Indication ( SNI ) leer ist und der Datenverkehr nicht entschlüsselt wird, sodass der nicht über die erforderlichen Informationen verfügt, Firewall um die und Kategorie zu URL URL finden.