DotW: 解除对 URL 的阻塞
Resolution
将网站分组为一组类别现在是常见的做法, 允许用户正在查找的 url 有明显的可见性。使用基于这些类别的一组策略, 我们可以控制对特定类别的访问。
例如, 您可以将策略配置为从不允许 "成人" 类别。
但是, 在某些情况下, url 类别可能被认为过于严格, 因此需要一个异常来允许特定的 url。
这是用户jharlow在最近的讨论中提出的一些问题。
在本例中, 用户阻止了 "共享软件和免费软件" 类别, 如下所示:
但是同时, 用户也想访问网站https://ninite.com
此 URL 位于被阻止的类别内, 并被策略阻止, 如您所见:
您可以测试 CLI 中的 URL, 以查看实际类别:
>> 测试 url ninite.com
ninite.com 共享软件和-免费软件 (基 db)
此 URL 是使用 HTTPS 的安全站点。我们的社区成员已经提到了证书的 CN (通用名称)。
从 PAN OS 6.0 开始, 帕洛阿尔托网络使用一种新的方法来解析 URL 类别. 此新方法不是基于服务器的 "证书 CN" 字段, 而是位于 SSL ClientHello 消息的 SNI (服务器名称指示) 值上:
为了进行异常, 成员将 URL 添加到 "允许" 列表中, 如下面的示例所示:
这将允许 URL, 即使类别 "共享软件和-免费软件" 被阻止。
出于某种原因, 这并不能做到这一点, 因此在这种情况下可能需要进一步的调试。
作为一种替代解决方案, 社区成员 Brandon_Wertz 了使用自定义 URL 类别的想法. 这也是可能的, 并且, 因为它证明, 为成员 jharlow 工作.
您可以在 "对象" 下配置自定义 URL 类别 >> 自定义对象 > URL 类别:
请注意, 我在上面的示例中命名了自定义 URL 类别 "Custom_allow"。
创建此自定义 url 类别后, 您将在 URL 筛选配置文件中找到此 "new" 类别。 请注意星号, 表示这是一个自定义 URL 类别:
正如布兰登在他的评论中指出的那样, 使用自定义类别可能会更好, 因为它将允许更多的控制。您可以在自定义类别上设置 "警报" 操作, 这将允许您在 URL 筛选日志中跟踪它:
以下是我们社区的讨论:
在评论部分, 我们总是欢迎下面的评论和问题。
感谢阅读。
金 Wens