DotW: die Freigabe einer URL

DotW: die Freigabe einer URL

31118
Created On 09/25/18 19:05 PM - Last Modified 06/09/23 06:09 AM


Resolution


Die Gruppierung von Websites in eine Reihe von Kategorien ist jetzt gängige Praxis, so dass eine granulare Sichtbarkeit der URLs-Nutzer suchen. Mit einer Reihe von Richtlinien, die auf diesen Kategorien basieren, können wir den Zugang zu bestimmten Kategorien kontrollieren.  

 

Zum Beispiel können Sie eine Richtlinie konfigurieren, um niemals die Kategorie "Erwachsener" zuzulassen.

 

In einigen Fällen kann jedoch eine URL-Kategorie als zu streng angesehen werden, so dass eine Ausnahme erforderlich ist, um die spezifische URL zu ermöglichen.

 

Das ist etwas, was User jharlow in einer aktuellen Diskussion angesprochen hat.

 

Post-Unblocking_a_URL. png

 

Der Nutzer blockierte in diesem Fall die Kategorie ' Shareware-and-Freeware ', wie hier dargestellt:

 

BildschirmFoto 2015-11-16 bei 10.52.36. png

 

Gleichzeitig möchte der Nutzer aber auf die Seite zugreifen https://Ninite.com

 

Diese URL fällt in die blockierte Kategorie und wird von der Politik blockiert, wie Sie sehen können:

BildschirmFoto 2015-11-16 bei 10.55.11. png

 

Sie können die URL im CLI testen, um zu sehen, was die eigentliche Kategorie ist:

 

> Test URL Ninite.com

Ninite.com Shareware-und-Freeware (Base DB)

 

Diese URL ist eine sichere Seite mit HTTPS. Unser Gemeindemitglied erwähnt bereits den CN (gemeinsamer Name) des Zertifikats.

 

Beginnend mit PAN-OS 6,0 verwendet Palo Alto Networks eine neue Methode zur Lösung der URL-Kategorie.  Diese neue Methode basiert nicht auf dem Server-Zertifikat CN-Feld, sondern auf dem SNI-Wert (Server Name-Indikation) der SSL-ClientHello-Nachricht:

 

BildschirmFoto 2015-11-16 bei 11.26.26. png

 

 

Um eine Ausnahme zu machen, hat das Mitglied die URL in die "Allow"-Liste aufgenommen, wie im Beispiel unten gezeigt:

 

BildschirmFoto 2015-11-16 bei 12.25.56. png

 

Dies wird die URL ermöglichen, obwohl die Kategorie ' Shareware-and-Freeware ' blockiert ist.

 

Aus irgendeinem Grund hat dies nicht den Trick getan, so dass in diesem Fall ein weiteres Debugging erforderlich sein könnte.

 

Als alternative Lösung kam das Community-Mitglied Brandon_Wertz auf die Idee, eine eigene URL-Kategorie zu verwenden. Dies ist auch möglich, und wie sich herausstellte, arbeitete für Mitglied jharlow.

 

Sie können eine eigene URL-Kategorie unterObjekten > BenutzerDefinierte Objekte > URL-Kategorie konfigurieren:

 

BildschirmFoto 2015-11-16 bei 11.42.11. png

 

Beachten Sie, dass ich die BenutzerDefinierte URL-Kategorie ' Custom_allow ' im obigen Beispiel genannt habe.

 

Nachdem Sie diese BenutzerDefinierte URL-Kategorie erstellt haben, finden Sie diese "neue" Kategorie in Ihrem URL-Filter Profil.  Beachten Sie das Sternchen, das anzeigt, dass es sich um eine eigene URL-Kategorie handelt:

 

BildschirmFoto 2015-11-16 bei 11.44.32. png

 

Wie Brandon in seinem Kommentar betonte, könnte die Verwendung einer eigenen Kategorie noch besser sein, weil es mehr Kontrolle ermöglichen wird. Sie können eine ' Alert '-Aktion auf Ihre benutzerdefinierte Kategorie setzen, die es Ihnen ermöglicht, Sie in den URL-Filter Protokollen zu verfolgen:

 

BildschirmFoto 2015-11-16 bei 11.36.48. png

 

 

Verfolgen Sie die Diskussion in unserer Gemeinde hier:

Entsperrung Ninite.com

 

Wir freuen uns immer über Kommentare und Fragen im Kommentarbereich.

 

Danke fürs lesen.

 

Kim Wens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClU9CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language