在这篇文章,我们将介绍几种方法执行 URL 过滤和泛 OS 7.0 中与之相关的任何问题进行故障排除。
在帕洛阿尔托网络设备上,潘 DB URL 筛选应用 2 主要协议: HTTP 和 HTTPS (SSL)。
PAN DB 正在使用一个 url 过滤数据库, 其中包含了数以百万计的网站的清单, 这些网址被归类在https://urlfiltering.paloaltonetworks.com/CategoryList.aspx 的 某些 URL 类别中。除了标准的 URL 类别,还有 3 更多的系统定义的类别:
- 无法解决问题-本地 URL 过滤数据库中找不到网站和云连接是不可能。我们将在本文档后面谈论到云,它的工作的方式的连接性。
- 专用 ip 地址-任一网站是单个域,IP 地址是在私人的 IP 范围内,或 URL 根域是未知到云。
为了检索某一类别,防火墙必须连接到数据库云填充数据库,确定网站的类别。有 2 种类型的云:
- 公共云-如果防火墙具有 Internet 连接使用。
- 私有云-如果防火墙没有互联网连接使用。在这种情况下的一个解决方案是要在泛 URL DB 模式下运行 M-500 设备。
URL 过滤可以用于 2 主要行动:
- 匹配某些通信量。
- 阻止或允许某些通信量 (用于安全规则)。
使用 URL 筛选的匹配交通
使用此选项可以匹配某种类型的交通转到一个特定的网站。例如,用户可以使用 QoS 策略以限制交通去任何流媒体网站的带宽。在配置策略时,可以在服务/URL 类别 '' ' 找到此选项。
阻止或允许某些通信量
使用此选项可以允许或阻止某些交通基于 URL 配置文件,指定基于每个类别的操作。有关配置 URL 配置文件的信息, 可在管理员指南中找到 https://paloaltonetworks.com/documentation/70/pan-os/pan-os
如前文所述,URL 过滤工程 2 主要协议: HTTP 和 HTTPS(SSL)。为了确定某一类网站,防火墙必须做查询顺序如下:
- 它会检查其本地数据平面高速缓存
- 如果没有找到匹配,它会检查其本地管理平面高速缓存
- 如果没有找到匹配,它执行一个查询,以云 (公共的或私人的)
为了使查询作出和接收响应,防火墙必须从 TCP 通信中提取的网站名称。以下信息被检查或解析:
对于 HTTP 通信量,防火墙打算主要看 HTTP GET 消息。在下面的示例中, 我们有www.paloaltonetworks.com 的 示例通信量。观察在 HTTP GET 消息,我们有显示 paloaltonetworks.com 网站的 Host 域。见此情景,防火墙现在知道网站而是要做 paloaltonetworks.com 网站类别检查。
对于 HTTPS 通信,因为这个协议加密过程中,防火墙通常看在 SSL 握手期间呈现给客户端的服务器证书中的数据。在解密,此交通将被视为正常的 HTTP 流量确定类别的时候。
正如我们在下面的截图中看到的, 我们在去https://a.ssl.fastly.net 的 时候捕捉到了流量。服务器证书字段中,我们可以看到常见的名字是 'a.ssl.fastly.net',因此,防火墙将尝试解析这个网站,以获得一个类别。为 SSL,有更多的字段和防火墙试图寻找的选项。共同的名字是一种高度使用。
疑难解答
为了使识别的一种类别,正如前面提到的防火墙将执行以下查询:
- 它检查其本地数据平面高速缓存。
- 如果没有找到匹配,它会检查其本地管理平面高速缓存。
- 如果没有找到匹配,它执行一个查询,以云 (公共的或私人的)。
2 首先查询本地设备上,最后一个在外部源。
若要测试防火墙的 cli 的某些 URL 网站,请使用以下命令,检查管理平面高速缓存以及云分类:
>> 测试 url www.google.com
www.google.com搜索引擎 (基 db) 在0秒内到期
www.google.com云不可用 (云 db)
基于的 db-来自管理平面的响应
云 db-来自云的反应。在这个特定的测试,我们看到云不是可用的我们打算在接下来的步骤中介绍的情况。
为了证实云连接的状态,可以使用下面的命令:
>> 显示 url-云状态
泛 DB url 筛选
许可证: 有效的
云连接: 未连接
的 url 数据库版本-设备: 2016.02.24. 236
URL 协议版本-设备: 平底锅/0.0. 2
我们可以看到,在这种情况下,潘 DB 的许可证是有效的;然而,云计算连接的目标不成立。这可能是由于多个原因有关的下列任一操作:
- DNS 解析失败
- 不允许防火墙和云之间的 SSL 通信
- 在网络中的路由问题
- 在整个网络丢弃通信量的中间设备
- 如果配置,可能代理问题在 SSL 握手问候