DotW: déblocage d'une URL

DotW: déblocage d'une URL

31124
Created On 09/25/18 19:05 PM - Last Modified 06/09/23 06:09 AM


Resolution


Regrouper des sites Web dans un ensemble de catégories est maintenant pratique courante, permettant la visibilité granulaire des URL que les utilisateurs recherchent. En utilisant un ensemble de politiques basées sur ces catégories, nous pouvons contrôler l'accès à des catégories spécifiques.  

 

Par exemple, vous pouvez configurer une stratégie pour ne jamais autoriser la catégorie «adulte».

 

Dans certains cas, cependant, une catégorie d'url peut être considérée comme trop stricte, donc une exception est nécessaire pour autoriser l'URL spécifique.

 

C'est quelque chose d'utilisateur jharlow élevé dans une discussion récente.

 

Post-Unblocking_a_URL. png

 

L'utilisateur dans ce cas a bloqué la catégorie «shareware-et-freeware» comme illustré ici:

 

Capture d'Écran 2015-11-16 à 10.52.36. png

 

En même temps cependant, l'utilisateur voudrait accéder au site https://ninite.com

 

Cette URL se situe à l'intérieur de la catégorie bloquée et est bloquée par la stratégie, comme vous pouvez le voir:

Capture d'Écran 2015-11-16 à 10.55.11. png

 

Vous pouvez tester l'URL dans la CLI pour voir quelle est la catégorie réelle:

 

> test URL ninite.com

ninite.com shareware et freeware (base dB)

 

Cette URL est un site sécurisé utilisant HTTPS. Notre membre de la communauté mentionne déjà le CN (nom commun) du certificat.

 

À partir de Pan-OS 6,0, Palo Alto Networks utilise une nouvelle méthode de résolution de la catégorie URL.  Cette nouvelle méthode n'est pas basée sur le champ CN du certificat du serveur, mais plutôt sur la valeur SNI (indication du nom du serveur) du message SSL ClientHello:

 

Capture d'Écran 2015-11-16 à 11.26.26. png

 

 

Afin de faire une exception, le membre a ajouté l'URL à la liste «autoriser», comme indiqué dans L'exemple ci-dessous:

 

Capture d'Écran 2015-11-16 à 12.25.56. png

 

Ceci permettra l'URL même si la catégorie'shareware-et-freeware'est bloquée.

 

Pour une raison quelconque, cela n'a pas fait l'affaire, donc plus de débogage pourrait être nécessaire dans ce cas.

 

En tant que solution alternative, le membre de la communauté Brandon_Wertz a eu l'idée d'utiliser une catégorie d'URL personnalisée. C'est aussi possible, et comme il s'est avéré, a travaillé pour les membres jharlow.

 

Vous pouvez configurer une catégorie d'url personnalisée sous objets > Custom Objects > URL Category:

 

Capture d'Écran 2015-11-16 à 11.42.11. png

 

Notez que J'ai nommé la catégorie d'URL Personnalisée'Custom_allow'dans L'exemple ci-dessus.

 

Après avoir créé cette catégorie d'URL personnalisée, vous trouverez cette «nouvelle» catégorie dans votre profil de filtrage d'URL.  Notez l'astérisque, indiquant qu'il s'agit d'une catégorie d'URL personnalisée:

 

Capture d'Écran 2015-11-16 à 11.44.32. png

 

Comme Brandon l'a souligné dans son commentaire, l'utilisation d'une catégorie personnalisée pourrait être encore mieux, car il permettra plus de contrôle. Vous pouvez définir une action «Alert» sur votre catégorie personnalisée, ce qui vous permettra de le suivre dans les journaux de filtrage d'URL:

 

Capture d'Écran 2015-11-16 à 11.36.48. png

 

 

Suivez la discussion dans notre communauté ici:

Déblocage ninite.com

 

Nous saluons toujours les commentaires et les questions ci-dessous dans la section commentaires.

 

Merci pour la lecture.

 

Nathalie wens
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClU9CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language