如何允许一个单一的 YouTube 视频和阻止其他所有的视频
111751
Created On 09/25/18 17:36 PM - Last Modified 04/23/22 06:05 AM
Symptom
如果你想允许一个 Youtube 视频并阻止所有其他 Youtube 视频, I 将解释如何做到这一点。
Environment
- 任何 PAN-OS .
- 帕洛阿尔托 Firewall .
- SSL 解密配置。
- URL 过滤配置。
Resolution
如何允许一个单一的 YouTube 视频和阻止其他所有的视频
PLEASE NOTE:
为了使此正常工作,您需要以下几点:
- SSL 解密需要启用。
- QUIC 协议需要禁用,因为它绕过 SSL 解密。
在此示例中,我们只想允许 YouTube 中的一个视频:https://www.youtube.com/watch?v=8VnvZ8kvAS0并阻止 YouTube 上的所有其他视频。请按照以下步骤完成此操作。
步骤
- 创建一个新的自定义 URL 类别,只允许想要的YouTube视频。
获取 URL policy WebGUI 内部的筛选 >对象>自定义对象> URL 类别。
然后单击 "添加"以创建新的自定义 URL 类别。
A 新的窗口将弹出。在那个新窗口内,给它一个 名字 (允许YouTube)和 描述 ,如果你喜欢,然后点击 再次添加,并把一个YouTube URL 是允许的:www.youtube.com/watch?v=8VnvZ8kvAS0(不 HTTPS ://需要),然后点击 OK 。
- 接下来,您将希望创建一个新的 第二 URL 类,以代表 YouTube 视频的其余部分。
- 当仍在该 URL 类别 窗口内时,请再次单击 "添加", 然后在需要时放入 名称 (youtubeWatch)和说明
- 然后在 URL "网站"下插入以下部分:www.youtube.com/watch?v+(没有视频编号表示所有视频)。
- 单击 OK 。
- 现在到 Firewall 所需的规则。 您首先需要阻止 QUIC 协议。 请在规则库中创建新规则,以拒绝出站协议"quic"。
- 请验证您是否已解密 policy 类型 SSL 转发代理。解密 policy 应涵盖YouTube流量。 一种方法是定义 policy "流媒体"类别的解密 URL 。 请参阅以下有关配置 SSL 解密的文章:如何实施和测试 SSL 解密 ,或查看SSL 配置和故障排除中的解密资源列表。
- 接下来是允许和拒绝流量所需的 2 个规则。
第一个规则将用于允许 YouTube 基和 google 基应用程序允许 YouTube 自定义网址类别 - "YouTube 允许" 。
第二个规则 将拒绝 相同的 YouTube 基和谷歌基地的应用程序为 YouTube 自定义网址类别的其余部分 - "youtubewatch" 。
- 提交 和测试。
测试时,您应该能够访问www.youtube.com并且链接应该显示为活动。 但是,当您单击任何视频(允许的视频外),你应该得到一个块屏幕。
否则, 如果你启动允许的 YouTube 链接, 你应该能够观看视频与outout问题。
Additional Information
注意: YouTube 流式处理应用程序中似乎有一些更改,可能会导致上述解决方案无法正常工作。 如果上述步骤不起作用,请添加以下步骤
1 - 添加 *。googlevideo.com到自定义步骤 URL
5 - 将 Youtube 流添加到安全 policy 应用程序 (允许 Policy )