Détails
Ce document décrit comment configurer le périphérique Palo Alto Networks pour qu'il serve une page de réponse d'URL sur une session HTTPS sans décryptage SSL.
Exigences en matière
Remarque: si vous utilisez le filtrage dynamique d'url avec BrightCloud, assurez-vous d'activer le filtrage dynamique d'url sur tous les profils de filtrage d'url ainsi que le filtrage dynamique des URL à l'échelle mondiale. À partir du mode de configuration sur la CLI du périphérique, entrez la commande suivante:
# Set deviceconfig Setting URL Dynamic-URL Yes
la commande ci-dessus ne fonctionne que si le pare-feu est autorisé pour le filtrage d'url BrightCloud. Il ne fonctionne pas pour le filtrage d'URL PAN-DB.
Une fois que les exigences ci-dessus ont été remplies, activez la capacité du périphérique Palo Alto Networks à injecter des pages de réponse de filtrage d'URL dans une session HTTPS avec la commande de configuration suivante. Cette commande fonctionne avec un filtre d'URL BrightCloud ou PAN-DB:
# deviceconfig paramètre url proxy ssl-décrypter la valeur Oui
Les machines clientes parcourant l'appareil de Palo Alto Networks seront désormais servies une réponse de filtrage d'url dans une session HTTPS comme dicté par la stratégie de filtrage d'url.
Mises en garde avec continue and override
Le contenu du serveur des sites Web d'aujourd'hui provient de nombreuses sources, si vous servez une page de réponse d'URL pour une action de type continue ou override, il est possible que certains contenus sur la page ne soient pas restitués correctement. Cela se produira si le contenu provient d'un site qui se trouve dans une catégorie pour laquelle l'action est définie sur bloquer, continuer ou remplacer. Le pare-feu ne présentera pas la page continuer et remplacer pour chaque lien incorporé.
Remarque:
après avoir remplacé le certificat pour renouveler la date d'expiration, redémarrez Dataplane ou le périphérique.
Il supprime le cache de certificat expiré dans Dataplane.
propriétaire: bvandivier