专家︰ URL 筛选执行和故障排除

专家︰ URL 筛选执行和故障排除

169651
Created On 09/25/18 18:55 PM - Last Modified 04/20/20 22:37 PM


Resolution


在这篇文章,我们将介绍几种方法执行 URL 过滤和泛 OS 7.0 中与之相关的任何问题进行故障排除。

 

在帕洛阿尔托网络设备上,潘 DB URL 筛选应用 2 主要协议: HTTP 和 HTTPS (SSL)。

PAN DB 正在使用一个 url 过滤数据库, 其中包含了数以百万计的网站的清单, 这些网址被归类在https://urlfiltering.paloaltonetworks.com/CategoryList.aspx 的 某些 URL 类别中。除了标准的 URL 类别,还有 3 更多的系统定义的类别:

 

  • 无法解决问题-本地 URL 过滤数据库中找不到网站和云连接是不可能。我们将在本文档后面谈论到云,它的工作的方式的连接性。

 

  • 专用 ip 地址-任一网站是单个域,IP 地址是在私人的 IP 范围内,或 URL 根域是未知到云。
  • 未尚未分类未知-网站。

 

为了检索某一类别,防火墙必须连接到数据库云填充数据库,确定网站的类别。有 2 种类型的云:

 

  • 公共云-如果防火墙具有 Internet 连接使用。
  • 私有云-如果防火墙没有互联网连接使用。在这种情况下的一个解决方案是要在泛 URL DB 模式下运行 M-500 设备。

 

URL 过滤可以用于 2 主要行动:

 

  • 匹配某些通信量。
  • 阻止或允许某些通信量 (用于安全规则)。

 

使用 URL 筛选的匹配交通

 

使用此选项可以匹配某种类型的交通转到一个特定的网站。例如,用户可以使用 QoS 策略以限制交通去任何流媒体网站的带宽。在配置策略时,可以在服务/URL 类别 '' ' 找到此选项。

 

阻止或允许某些通信量

 

使用此选项可以允许或阻止某些交通基于 URL 配置文件,指定基于每个类别的操作。有关配置 URL 配置文件的信息, 可在管理员指南中找到 https://paloaltonetworks.com/documentation/70/pan-os/pan-os

 

如前文所述,URL 过滤工程 2 主要协议: HTTP 和 HTTPS(SSL)。为了确定某一类网站,防火墙必须做查询顺序如下:

 

  • 它会检查其本地数据平面高速缓存
  • 如果没有找到匹配,它会检查其本地管理平面高速缓存
  • 如果没有找到匹配,它执行一个查询,以云 (公共的或私人的)

 

为了使查询作出和接收响应,防火墙必须从 TCP 通信中提取的网站名称。以下信息被检查或解析:

 

对于 HTTP 通信量,防火墙打算主要看 HTTP GET 消息。在下面的示例中, 我们有www.paloaltonetworks.com 的 示例通信量。观察在 HTTP GET 消息,我们有显示 paloaltonetworks.com 网站的 Host 域。见此情景,防火墙现在知道网站而是要做 paloaltonetworks.com 网站类别检查。

 

 1.png

 

 

对于 HTTPS 通信,因为这个协议加密过程中,防火墙通常看在 SSL 握手期间呈现给客户端的服务器证书中的数据。在解密,此交通将被视为正常的 HTTP 流量确定类别的时候。

 

正如我们在下面的截图中看到的, 我们在去https://a.ssl.fastly.net 的 时候捕捉到了流量。服务器证书字段中,我们可以看到常见的名字是 'a.ssl.fastly.net',因此,防火墙将尝试解析这个网站,以获得一个类别。为 SSL,有更多的字段和防火墙试图寻找的选项。共同的名字是一种高度使用。

 

2、png

 疑难解答

 

 为了使识别的一种类别,正如前面提到的防火墙将执行以下查询:

 

  • 它检查其本地数据平面高速缓存。
  • 如果没有找到匹配,它会检查其本地管理平面高速缓存。
  • 如果没有找到匹配,它执行一个查询,以云 (公共的或私人的)。

 

2 首先查询本地设备上,最后一个在外部源。

 

若要测试防火墙的 cli 的某些 URL 网站,请使用以下命令,检查管理平面高速缓存以及云分类:

 

>> 测试 url www.google.com
www.google.com搜索引擎 (基 db) 在0秒内到期
www.google.com云不可用 (云 db)

 

基于的 db-来自管理平面的响应

云 db-来自云的反应。在这个特定的测试,我们看到云不是可用的我们打算在接下来的步骤中介绍的情况。

 

为了证实云连接的状态,可以使用下面的命令:

 

>> 显示 url-云状态

泛 DB url 筛选
许可证: 有效的
云连接: 未连接
的 url 数据库版本-设备: 2016.02.24.   236
URL 协议版本-设备: 平底锅/0.0. 2

 

我们可以看到,在这种情况下,潘 DB 的许可证是有效的;然而,云计算连接的目标不成立。这可能是由于多个原因有关的下列任一操作:

 

  • DNS 解析失败
  • 不允许防火墙和云之间的 SSL 通信
  • 在网络中的路由问题
  • 在整个网络丢弃通信量的中间设备
  • 如果配置,可能代理问题在 SSL 握手问候

 

 

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRZCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language