Les journaux de trafic affichent URL la catégorie comme n’importe quelle URL pour la sécurité spécifique Policy
14982
Created On 06/11/20 09:17 AM - Last Modified 03/26/21 16:19 PM
Question
Pourquoi les journaux de trafic affichent-ils la URL catégorie comme « Tout » pour URL une sécurité Policy spécifique, alors que l’application est soit « incomplète » ou « ssl »?
Answer
Lorsque les stratégies de sécurité sont d’abord regardées pour une nouvelle session, les données de la couche 7 ne sont pas prises en compte, de sorte URL qu’une Policy sécurité spécifique peut toujours être appariée.
Une demande « incomplète » signifie que soit la poignée de main à trois ne s’est pas terminée, soit la poignée de main TCP à trois a été TCP terminée, mais qu’il n’y avait aucune donnée après la poignée de main pour identifier l’application. Par conséquent, nous n’avons pas encore les données pour identifier URL la catégorie ou la URL catégorie, et donc la catégorie apparaît URL comme « Tout ».
Une application « ssl » signifie que nous avons eu assez de trafic pour passer à travers le Firewall pour identifier la session comme SSL . Si la URL catégorie est montrée comme « Any », alors il pourrait être parce que l’indication de nom du serveur ( SNI ) champ est vide et le trafic n’est pas décrypté, de sorte que le Firewall n’a pas les informations nécessaires pour comprendre URL le et la URL catégorie.