DotW: déblocage d'une URL
Resolution
Regrouper des sites Web dans un ensemble de catégories est maintenant pratique courante, permettant la visibilité granulaire des URL que les utilisateurs recherchent. En utilisant un ensemble de politiques basées sur ces catégories, nous pouvons contrôler l'accès à des catégories spécifiques.
Par exemple, vous pouvez configurer une stratégie pour ne jamais autoriser la catégorie «adulte».
Dans certains cas, cependant, une catégorie d'url peut être considérée comme trop stricte, donc une exception est nécessaire pour autoriser l'URL spécifique.
C'est quelque chose d'utilisateur jharlow élevé dans une discussion récente.
L'utilisateur dans ce cas a bloqué la catégorie «shareware-et-freeware» comme illustré ici:
En même temps cependant, l'utilisateur voudrait accéder au site https://ninite.com
Cette URL se situe à l'intérieur de la catégorie bloquée et est bloquée par la stratégie, comme vous pouvez le voir:
Vous pouvez tester l'URL dans la CLI pour voir quelle est la catégorie réelle:
> test URL ninite.com
ninite.com shareware et freeware (base dB)
Cette URL est un site sécurisé utilisant HTTPS. Notre membre de la communauté mentionne déjà le CN (nom commun) du certificat.
À partir de Pan-OS 6,0, Palo Alto Networks utilise une nouvelle méthode de résolution de la catégorie URL. Cette nouvelle méthode n'est pas basée sur le champ CN du certificat du serveur, mais plutôt sur la valeur SNI (indication du nom du serveur) du message SSL ClientHello:
Afin de faire une exception, le membre a ajouté l'URL à la liste «autoriser», comme indiqué dans L'exemple ci-dessous:
Ceci permettra l'URL même si la catégorie'shareware-et-freeware'est bloquée.
Pour une raison quelconque, cela n'a pas fait l'affaire, donc plus de débogage pourrait être nécessaire dans ce cas.
En tant que solution alternative, le membre de la communauté Brandon_Wertz a eu l'idée d'utiliser une catégorie d'URL personnalisée. C'est aussi possible, et comme il s'est avéré, a travaillé pour les membres jharlow.
Vous pouvez configurer une catégorie d'url personnalisée sous objets > Custom Objects > URL Category:
Notez que J'ai nommé la catégorie d'URL Personnalisée'Custom_allow'dans L'exemple ci-dessus.
Après avoir créé cette catégorie d'URL personnalisée, vous trouverez cette «nouvelle» catégorie dans votre profil de filtrage d'URL. Notez l'astérisque, indiquant qu'il s'agit d'une catégorie d'URL personnalisée:
Comme Brandon l'a souligné dans son commentaire, l'utilisation d'une catégorie personnalisée pourrait être encore mieux, car il permettra plus de contrôle. Vous pouvez définir une action «Alert» sur votre catégorie personnalisée, ce qui vous permettra de le suivre dans les journaux de filtrage d'URL:
Suivez la discussion dans notre communauté ici:
Nous saluons toujours les commentaires et les questions ci-dessous dans la section commentaires.
Merci pour la lecture.
Nathalie wens