専門家から: URL フィルタ リングの実装とトラブルシューティング
Resolution
この記事で私たちは、URL フィルタ リングとパン OS 7.0 に関連する問題のトラブルシューティングの実装のいくつかの方法を紹介します。
2 つの主要なプロトコルのパン DB URL フィルタ リングが適用されるパロ ・ アルト ネットワーク デバイス上: HTTP と HTTPS (SSL)。
PAN-DB は、https://urlfiltering.paloaltonetworks.com/CategoryList.aspx に記載されているように、特定の url カテゴリに分類した何百万ものウェブサイトのリストを含む url フィルタリングデータベースを使用しています。 標準の URL カテゴリに加えて、3 より多くのシステム定義のカテゴリがあります。
- 解決しない - ローカル URL フィルター データベースの web サイトが見つかりませんでしたし、クラウド接続できませんでした。私たちはこのドキュメントの後半雲とそれが働く方法への接続について説明します。
- プライベート ip アドレス - いずれかのウェブサイトは、単一のドメイン、IP アドレスがプライベート IP の範囲または URL ルート ドメインはクラウドに知られています。
- 不明 - ウェブサイトは分類されていません。
特定のカテゴリを取得するためにデータベースを設定するために、または web サイトのカテゴリを識別するために、ファイアウォールはデータベース クラウドに接続する必要があります。雲の 2 種類あります。
- パブリック クラウドのファイアウォールは、インターネットに接続する場合に使用します。
- プライベート クラウドのファイアウォールは、インターネットに接続されていない場合に使用されます。ソリューションは、この場合パン URL DB モードで実行されている M-500 デバイスを持っているです。
URL フィルタ リングは、2 つの主要なアクションを使用できます。
- 特定のトラフィックを照合します。
- ブロックまたは (セキュリティ規則に使用される) 特定のトラフィックを許可します。
URL フィルタ リングを使用してトラフィックに一致します。
このオプションを使用すると、特定の web サイトに送信されるトラフィックの特定の種類に一致します。たとえば、ユーザーは、' ストリーミング メディアのウェブサイトへのトラフィックの帯域幅を制限するために、QoS ポリシーを使用できます。このオプションは、ポリシーを構成するときに 'サービス/URL カテゴリ' で見つけることが。
ブロックまたは特定のトラフィックを許可します。
許可または各カテゴリに基づくアクションを指定する URL プロファイルに基づいて特定のトラフィックをブロックするには、このオプションを使用します。構成 URL プロファイルに関する情報は、管理者ガイドhttps://paloaltonetworks.com/documentation/70/pan-os/pan-os にあります。
前述したとおり、URL フィルターの 2 つの主要なプロトコルのしくみ: HTTP および HTTPS(SSL)。Web サイトの特定のカテゴリを識別するために、ファイアウォールは次の順序でクエリを行う必要があります。
- それはローカル データ平面キャッシュをチェックします。
- 一致が見つからなかった場合それはローカル管理平面キャッシュをチェックします。
- クラウド (パブリックまたはプライベート) にクエリを実行する一致が見つからない場合
されるクエリと応答を受信するため、ファイアウォールは、TCP 通信からサイト名を抽出する必要があります。次の情報をチェックしたり、解析。
HTTP トラフィックのファイアウォールは HTTP GET メッセージで主を見るつもりです。以下の例では、www.paloaltonetworks.com のサンプルトラフィックがあります。 HTTP GET メッセージ内 paloaltonetworks.com のウェブサイトを表示する 'ホスト' フィールドがあることを確認します。これを見て、ファイアウォールは今ウェブサイトを知っているし、paloaltonetworks.com ウェブサイトのカテゴリ チェックを行うつもりです。
HTTPS トラフィックにこのプロトコルは暗号化されているのでファイアウォール通常見て SSL ハンドシェイク中にクライアントに提示されるサーバー証明書内のデータ。復号化、場合それはカテゴリを識別するのに来るとき、このトラフィックは通常の HTTP トラフィックとして扱われます。
我々は下のスクリーンショットで見ることができるように、我々はhttps://a.ssl.fastly.net に 行くときにトラフィックをキャプチャしている。サーバー証明書のフィールドを我々 は共通を見ることができますファイアウォールの名前は 'a.ssl.fastly.net、' したがって、カテゴリを取得するこのウェブサイトを解決を試みます。Ssl より多くのフィールドとファイアウォールを探しますしようとするオプションがあります。共通名は、非常に使用します。
トラブルシューティング
前述のカテゴリの識別をするために述べたファイアウォールは以下のクエリを実行します。
- 平面にある、ローカル データのキャッシュを確認してください。
- 一致が見つからなかった場合は、ローカル管理平面キャッシュをチェックします。
- 一致が見つからなかった場合は、クラウド (パブリックまたはプライベート) にクエリを実行します。
2 最初のクエリはローカル デバイス上、最後の 1 つは外部ソースで行われます。
ファイアウォールの CLI で特定の URL のウェブサイトのテスト、雲の分類と同様、管理面キャッシュをチェックする次のコマンドを使用します。
> テスト url www.google.com
www.google.com検索エンジン (ベース db) の有効期限が0秒
www.google.comクラウド利用不可 (クラウド db )
ベース、db 管理面から来た応答
クラウド db - クラウドから来た応答。この特定のテストで我々 はクラウドが利用できないを参照してください我々 は次の手順でカバーしようとしているシナリオ。
クラウド接続の状態を確認するためには、次のコマンドを使用できます。
> url の表示-クラウドステータス
パン-DB url フィルタリング
ライセンス: 有効な
クラウド接続: 接続されていない
url データベースのバージョン-デバイス: 2016.02.24。236
URL プロトコルバージョン-デバイス: パン/0.0.2
我々 は、この場合、パン DB のライセンスが有効なを見ることができます。ただし、クラウド接続が確立されていません。次のいずれかに関連する複数の原因が考えられます。
- DNS 解決に失敗しました。
- SSL トラフィックがファイアウォールとクラウドの間許可されていません
- ネットワークでのルーティングの問題
- トラフィックをドロップ ネットワーク全体の中間のネットワーク デバイス
- 可能なプロキシ問題に関しては SSL ハンドシェイクに設定されている場合