Von den Experten: URL Filterung Umsetzung und Fehlerbehebung
Resolution
In diesem Artikel werden wir ein paar Methoden der Implementierung von URL-Filterung und Fehlerbehebung Probleme mit sich bringen in PAN-OS 7.0 präsentieren.
Auf Palo Alto Networks Geräten, PAN-DB URL-Filterung wird angewendet auf 2 große Protokolle: HTTP und HTTPS (SSL).
PAN-DB verwendet eine URL-Filterdatenbank, die eine Auflistung von Millionen von Websites enthält, die in bestimmten URL-Kategorien kategorisiert wurden, wie auf https://URLFiltering.paloaltonetworks.com/CategoryList.aspx dokumentiert. Zusätzlich zu den standard-URL-Kategorien gibt es 3 weitere System definierte Kategorien:
- nicht gelöst - die Website wurde in die lokale URL-Filter-Datenbank nicht gefunden und Cloud-Konnektivität war nicht möglich. Wir werden weiter unten in diesem Dokument sprechen, über die Verbindung mit der Cloud und die Art, wie, die es funktioniert.
- Private Ip-Adresse - entweder der Website ist eine einzelne Domäne, die IP-Adresse liegt in einem privaten IP-Bereich oder die URL Stammdomäne ist unbekannt in die Cloud.
- unbekannt - die Website hat noch nicht kategorisiert.
Um einer bestimmten Kategorie abzurufen, muss die Firewall mit einer Datenbank-Wolke um die Datenbank zu füllen oder um eine Kategorie für eine Website zu identifizieren verbinden. Es gibt 2 Arten von Wolken:
- Öffentliche Cloud - verwendet, wenn die Firewall Internetverbindung verfügt.
- Private Cloud - verwendet, wenn die Firewall nicht über Internet-Konnektivität. Eine Lösung ist in diesem Fall um ein M-500 Gerät im PAN-URL-DB-Modus laufen.
URL-Filterung kann für 2 große Aktionen verwendet werden:
- Passende bestimmter Datenverkehr.
- Blockieren oder zulassen bestimmter Datenverkehr (verwendet für Sicherheits-Regeln).
Passenden Traffic mit URL-Filterung
Verwenden Sie diese Option, um eine bestimmte Art von Datenverkehr übereinstimmen, die auf eine bestimmte Website geht. Beispielsweise kann Benutzer QoS-Richtlinien verwenden, um die Bandbreite für Datenverkehr zu einer streaming-Media-Website zu begrenzen. Diese Option finden Sie im "Service/URL-Kategorie" Wenn Sie eine Richtlinie konfigurieren.
Blockieren oder zulassen bestimmter Datenverkehr
Verwenden Sie diese Option zum zulassen oder Blockieren bestimmter Datenverkehr basierend auf einer URL-Profil, die eine Aktion basierend auf jeder Kategorie gibt. Informationen über die URL-Profile der Konfiguration finden Sie im Leitfaden des Administrators https://paloaltonetworks.com/Documentation/70/Pan-OS/Pan-OS
Wie bereits erwähnt, URL-Filterung funktioniert auf 2 große Protokolle: HTTP und HTTPS(SSL). Um eine bestimmte Kategorie für eine Website zu identifizieren, muss die Firewall eine Abfrage in der folgenden Reihenfolge:
- Er prüft seine lokalen Datencache Flugzeug
- Wenn keine Übereinstimmung gefunden wird, überprüft er seinen lokalen Management-Flugzeug-cache
- Wenn keine Übereinstimmung gefunden wird, führt es eine Abfrage in die Cloud (öffentlich oder privat)
Damit die Abfrage gemacht werden und eine Antwort erhalten muss die Firewall der Name der Website von TCP-Kommunikation extrahieren. Die folgende Informationen werden überprüft und analysiert:
Für HTTP-Datenverkehr wird die Firewall in erster Linie auf die HTTP GET-Nachricht aussehen. Im folgenden Beispiel haben wir Muster Verkehr für www.paloaltonetworks.com. Beachten Sie, dass in der HTTP GET-Nachricht wir Feld "Host" paloaltonetworks.com Website zeigt. Von diesem Anblick, die Firewall jetzt weiß die Website und eine Kategorie-Prüfung auf der paloaltonetworks.com Website tun.
Für HTTPS-Datenverkehr da dieses Protokoll verschlüsselt wird, schaut die Firewall in der Regel Daten in das Server-Zertifikat, das der Kunde während der SSL-Handshake präsentiert wird. Bei Entschlüsselung wird dieser Datenverkehr als normale HTTP-Datenverkehr behandelt werden, bei der Ermittlung der Kategorie.
Wie wir im Screenshot unten sehen können, haben wir den Verkehr erfasst, wenn wir auf https://a.SSL.fastly.net gehen. In das Feld Server-Zertifikat sehen wir die gemeinsame Name ist daher "a.ssl.fastly.net", die Firewall wird versuchen, diese Website, um eine Kategorie zu erhalten zu lösen. Für SSL gibt es weitere Felder und Optionen, die versucht, die Firewall zu suchen. Trivialname ist hoch verwendet werden.
Fehlerbehebung
Um eine Identifikation einer Kategorie machen wie vorher erwähnt, die Firewall die folgenden Abfragen ausgeführt werden:
- Check it seiner lokalen Datencache Flugzeug.
- Wenn keine Übereinstimmung gefunden wird, überprüft er seinen lokalen Management-Flugzeug-Cache.
- Wenn keine Übereinstimmung gefunden wird, führt es eine Abfrage in die Cloud (öffentlich oder privat).
Die ersten 2 Abfragen sind lokal auf dem Gerät und der vorige erfolgt auf einer externen Quelle.
Um für eine bestimmte URL-Webadresse auf der Firewall CLI zu testen, verwenden Sie den folgenden Befehl, der Management-Ebene-Cache sowie die Wolke Kategorisierung überprüft:
> Test -URL www.Google.com
www.Google.com Suchmaschinen (Base DB) läuft in 0 Sekunden
www.Google.com Cloud-nicht verfügbar (Cloud DB )
Nach Db - die Antwort, die Managementebene stammt
Cloud-Db - die Antwort, die aus der Wolke kam. In diesen Test, sehen wir, dass die Wolke nicht verfügbar, ist ein Szenario, das wollen wir in den nächsten Schritten zu decken.
Um den Status des Cloud-Konnektivität zu bestätigen, kann der folgende Befehl verwendet werden:
> URL anzeigen-Cloud-Status
Pan-DB URL-Filter
Lizenz: gültige
Cloud-Verbindung: nicht angeschlossene
URL-Datenbank-Gerät: 2016.02.24. 236
URL-Protokollversion-Gerät: Pan/ 0.0.2
Wir können sehen, dass in diesem Fall die Lizenz für PAN-DB gültig ist; Allerdings hat die Cloud-Anbindung nicht etabliert. Dies kann aus mehreren Gründen im Zusammenhang mit einer der folgenden sein:
- DNS-Auflösung Fehler
- SSL-Datenverkehr nicht erlaubt zwischen der Firewall und Cloud
- Routingprobleme im Netz
- Zwischengeschalteten Geräte im gesamten Netzwerk Verkehr fallen
- Wenn konfiguriert, stellt mögliche Proxy in Bezug auf SSL-handshake