Wie die URL-Option weiter geht, funktioniert auf der Paketebene
Resolution
Details
Für das Szenario in diesem Dokument wird ein Beispiel mit dem "URL-Filter"-Profil für die Kategorie "Social Networking" mit der Aktion "weiter" verwendet. Paketaufnahmen wurden am Ende des Clients gemacht. Für den HTTP/HTTPS-Traffic, der die Sicherheitsrichtlinien mit einem URL-Profil trifft, wird eine "weiter"-Antwort im Webbrowser angezeigt (in dem unten gezeigten Beispiel ist es die http://Facebook.com- Seite) :
Wenn die TCP-Session eingerichtet ist (Pakete 268-270), da der HTTP-Traffic mit der URL-Kategorie übereinstimmt, die mit "weiter"-Aktion konfiguriert ist, sendet das Palo Alto Networks-Gerät eine HTTP 302 Redirect-Nachricht, wie unten gezeigt (Paketnummer 272). Der in diesem Paket angegebene Umleitungs Standort lautet: "http://173.252.110.27:6080/php/urlblock.php?Vsys=1&Cat=10014&Title=Social-Networking&RuleName=Permit-All&UID=16&URL=http://Facebook.com%2F" (die gleiche URI, die im Web zu sehen ist Browser im obigen Beispiel). Dieser URI enthält URL-Kategorie und Original-URL. Wenn dieses Paket vom Webbrowser empfangen wird, wird die bestehende TCP-Session abgerissen (Paketnummer 276):
Als nächstes initiiert der Browser die neue TCP-Session (Pakete 277-279) mit Port 6080, wie in der HTTP 302-Nachricht, die vom Palo Alto Networks-Gerät gesendet wird, angegeben wird. Die Paketnummer 280 zeigt die HTTP-Anfrage, die vom Webbrowser gesendet wird. Die HTTP GET-Nachricht in diesem Paket enthält den Pfad, der aus dem Standort Feld der HTTP 302-Nachricht entnommen wurde:
In der unten gezeigten Sitzung sendet das Palo Alto Networks-Gerät die HTTP 200 OK-Nachricht (Paketnummer 284). Dieses Paket enthält HTML-Code für den "weiter"-Button und wenn der Webbrowser dieses Paket empfängt, zeigt es die "weiter"-Seite (erstes Bild oben in diesem Dokument):
Verwenden Sie den folgenden CLI-Befehl, um die Session im Palo Alto-Netzwerkgerät zu sehen, das als "PANOS-Web-Interface" anerkannt ist:
> Session alle Filter Quelle 192.168.193.3
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ID-Anwendung Staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port])Vsys DST [dport]/Zone (ÜBERsetzte IP [Port ])
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------
1192 PANOS-Web-Interface ACTIVE FLOW ND 192.168.193.3 [2569]/Trust/6 (192.168.193.3 [2569]) Vsys 1173.252.110.27 [6080]/Captive-Portal (127.131.1.1 [6180])
[...]
Wenn der Client den "weiter"-Button drückt, leitet das Netzwerk-Gerät Palo Alto den Webbrowser an den endgültigen Bestimmungsort weiter. Die Pakete Nummer 388 zeigt den Moment an, in dem der "weiter"-Button vom Endverbraucher gedrückt wird, während die Paketnummer 390 die vom Palo Alto Networks-Webserver generierte HTTP 302-Nachricht zeigt (dieses Paket hat das Original http://Facebook.com URL-Set in das Standort Feld dieses Pakets):
Schließlich initiiert der Webbrowser eine neue TCP-Verbindung direkt zum Facebook.com-Webserver:
Besitzer: gbogojevic