DotW: die Freigabe einer URL
Resolution
Die Gruppierung von Websites in eine Reihe von Kategorien ist jetzt gängige Praxis, so dass eine granulare Sichtbarkeit der URLs-Nutzer suchen. Mit einer Reihe von Richtlinien, die auf diesen Kategorien basieren, können wir den Zugang zu bestimmten Kategorien kontrollieren.
Zum Beispiel können Sie eine Richtlinie konfigurieren, um niemals die Kategorie "Erwachsener" zuzulassen.
In einigen Fällen kann jedoch eine URL-Kategorie als zu streng angesehen werden, so dass eine Ausnahme erforderlich ist, um die spezifische URL zu ermöglichen.
Das ist etwas, was User jharlow in einer aktuellen Diskussion angesprochen hat.
Der Nutzer blockierte in diesem Fall die Kategorie ' Shareware-and-Freeware ', wie hier dargestellt:
Gleichzeitig möchte der Nutzer aber auf die Seite zugreifen https://Ninite.com
Diese URL fällt in die blockierte Kategorie und wird von der Politik blockiert, wie Sie sehen können:
Sie können die URL im CLI testen, um zu sehen, was die eigentliche Kategorie ist:
> Test URL Ninite.com
Ninite.com Shareware-und-Freeware (Base DB)
Diese URL ist eine sichere Seite mit HTTPS. Unser Gemeindemitglied erwähnt bereits den CN (gemeinsamer Name) des Zertifikats.
Beginnend mit PAN-OS 6,0 verwendet Palo Alto Networks eine neue Methode zur Lösung der URL-Kategorie. Diese neue Methode basiert nicht auf dem Server-Zertifikat CN-Feld, sondern auf dem SNI-Wert (Server Name-Indikation) der SSL-ClientHello-Nachricht:
Um eine Ausnahme zu machen, hat das Mitglied die URL in die "Allow"-Liste aufgenommen, wie im Beispiel unten gezeigt:
Dies wird die URL ermöglichen, obwohl die Kategorie ' Shareware-and-Freeware ' blockiert ist.
Aus irgendeinem Grund hat dies nicht den Trick getan, so dass in diesem Fall ein weiteres Debugging erforderlich sein könnte.
Als alternative Lösung kam das Community-Mitglied Brandon_Wertz auf die Idee, eine eigene URL-Kategorie zu verwenden. Dies ist auch möglich, und wie sich herausstellte, arbeitete für Mitglied jharlow.
Sie können eine eigene URL-Kategorie unterObjekten > BenutzerDefinierte Objekte > URL-Kategorie konfigurieren:
Beachten Sie, dass ich die BenutzerDefinierte URL-Kategorie ' Custom_allow ' im obigen Beispiel genannt habe.
Nachdem Sie diese BenutzerDefinierte URL-Kategorie erstellt haben, finden Sie diese "neue" Kategorie in Ihrem URL-Filter Profil. Beachten Sie das Sternchen, das anzeigt, dass es sich um eine eigene URL-Kategorie handelt:
Wie Brandon in seinem Kommentar betonte, könnte die Verwendung einer eigenen Kategorie noch besser sein, weil es mehr Kontrolle ermöglichen wird. Sie können eine ' Alert '-Aktion auf Ihre benutzerdefinierte Kategorie setzen, die es Ihnen ermöglicht, Sie in den URL-Filter Protokollen zu verfolgen:
Verfolgen Sie die Diskussion in unserer Gemeinde hier:
Wir freuen uns immer über Kommentare und Fragen im Kommentarbereich.
Danke fürs lesen.
Kim Wens