DotW: URL のブロック解除
Resolution
web サイトを一連のカテゴリにまとめると、ユーザーが探している url の詳細な表示が可能になります。これらのカテゴリに基づいてポリシーのセットを使用して、我々は特定のカテゴリへのアクセスを制御することができます。
たとえば、「アダルト」カテゴリを許可しないようにポリシーを設定することができます。
ただし、url カテゴリが厳しすぎると考えられる場合もあるため、特定の url を許可するには例外が必要です。
これは 、最近の議論で育てられた何かユーザー jharlow です。
この場合のユーザーは、カテゴリをブロック ' シェアウェアとフリーウェア ' ここに示すように:
同時に、しかし、ユーザーは、サイトにアクセスしたいと思いますhttps://ninite.com
この URL は、ブロックされているカテゴリ内にあり、ポリシーによってブロックします。
CLI で URL をテストして、実際のカテゴリが何であるかを確認できます。
> url ninite.com のテスト
ninite.com シェアウェアとフリーウェア (ベース db)
この URL は、HTTPS を使用したセキュリティで保護されたサイトです。コミュニティメンバーは、既に証明書の CN (共通名) について言及しています。
PAN-OS 6.0 で始まる、パロアルトネットワークは、URL カテゴリを解決するための新しい方法を使用しています。 この新しいメソッドは、サーバーの証明書 CN フィールドではなく、SSL ClientHello メッセージの SNI (サーバー名表示) の値に基づいています。
例外を作成するために、メンバは次の例に示すように、[許可] リストに URL を追加しました。
これは、カテゴリ ' シェアウェアとフリーウェア ' がブロックされているにもかかわらず、URL を許可します。
何らかの理由で、これはトリックをしなかったので、この場合にはさらにデバッグが必要になるかもしれません。
代替ソリューションとして、コミュニティメンバー Brandon_Wertz は、 カスタム URL カテゴリを使用するというアイデアを思いついた。これも可能であり、それが判明したとして、メンバー jharlow のために働い た。
[オブジェクト] > [カスタムオブジェクト] > [url] カテゴリで、カスタム url カテゴリを構成できます。
上記の例では、カスタム URL カテゴリ ' Custom_allow ' と名付けたことに注意してください。
このカスタム url カテゴリを作成すると、url フィルタリングプロファイルに「new」カテゴリが表示されます。 これがカスタム URL カテゴリであることを示すアスタリスクに注目してください。
ブランドンが彼のコメントで指摘したので、それがより多くのコントロールを許すだろうから、カスタム・カテゴリーを使うことは、いっそう良くかもしれません。カスタムカテゴリに対して ' alert ' アクションを設定すると、URL フィルタリングログで追跡することができます。
ここで私たちのコミュニティでの議論に従ってください:
我々は常にコメント欄に以下のコメントや質問を歓迎します。
読んでいただきありがとうございます。
キム Wens