Wie die URL-Option weiter geht, funktioniert auf der Paketebene

Wie die URL-Option weiter geht, funktioniert auf der Paketebene

48197
Created On 09/25/18 19:24 PM - Last Modified 06/13/23 02:44 AM


Resolution


Details

Für das Szenario in diesem Dokument wird ein Beispiel mit dem "URL-Filter"-Profil für die Kategorie "Social Networking" mit der Aktion "weiter" verwendet. Paketaufnahmen wurden am Ende des Clients gemacht. Für den HTTP/HTTPS-Traffic, der die Sicherheitsrichtlinien mit einem URL-Profil trifft, wird eine "weiter"-Antwort im Webbrowser angezeigt (in dem unten gezeigten Beispiel ist es die http://Facebook.com- Seite) :

Screenshot 2014-07-04 um 5.12.17 Uhr. png

Wenn die TCP-Session eingerichtet ist (Pakete 268-270), da der HTTP-Traffic mit der URL-Kategorie übereinstimmt, die mit "weiter"-Aktion konfiguriert ist, sendet das Palo Alto Networks-Gerät eine HTTP 302 Redirect-Nachricht, wie unten gezeigt (Paketnummer 272). Der in diesem Paket angegebene Umleitungs Standort lautet: "http://173.252.110.27:6080/php/urlblock.php?Vsys=1&Cat=10014&Title=Social-Networking&RuleName=Permit-All&UID=16&URL=http://Facebook.com%2F" (die gleiche URI, die im Web zu sehen ist Browser im obigen Beispiel). Dieser URI enthält URL-Kategorie und Original-URL. Wenn dieses Paket vom Webbrowser empfangen wird, wird die bestehende TCP-Session abgerissen (Paketnummer 276):

2. png

Als nächstes initiiert der Browser die neue TCP-Session (Pakete 277-279) mit Port 6080, wie in der HTTP 302-Nachricht, die vom Palo Alto Networks-Gerät gesendet wird, angegeben wird. Die Paketnummer 280 zeigt die HTTP-Anfrage, die vom Webbrowser gesendet wird. Die HTTP GET-Nachricht in diesem Paket enthält den Pfad, der aus dem Standort Feld der HTTP 302-Nachricht entnommen wurde:

3. png

In der unten gezeigten Sitzung sendet das Palo Alto Networks-Gerät die HTTP 200 OK-Nachricht (Paketnummer 284). Dieses Paket enthält HTML-Code für den "weiter"-Button und wenn der Webbrowser dieses Paket empfängt, zeigt es die "weiter"-Seite (erstes Bild oben in diesem Dokument):

4. png

Verwenden Sie den folgenden CLI-Befehl, um die Session im Palo Alto-Netzwerkgerät zu sehen, das als "PANOS-Web-Interface" anerkannt ist:

> Session alle Filter Quelle 192.168.193.3

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ID-Anwendung Staatstyp Flag src [Sport]/Zone/Proto (übersetzt IP [Port])Vsys DST [dport]/Zone (ÜBERsetzte IP [Port ])         

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1192 PANOS-Web-Interface ACTIVE FLOW ND 192.168.193.3 [2569]/Trust/6 (192.168.193.3 [2569]) Vsys 1173.252.110.27 [6080]/Captive-Portal (127.131.1.1 [6180])

[...]

Wenn der Client den "weiter"-Button drückt, leitet das Netzwerk-Gerät Palo Alto den Webbrowser an den endgültigen Bestimmungsort weiter. Die Pakete Nummer 388 zeigt den Moment an, in dem der "weiter"-Button vom Endverbraucher gedrückt wird, während die Paketnummer 390 die vom Palo Alto Networks-Webserver generierte HTTP 302-Nachricht zeigt (dieses Paket hat das Original http://Facebook.com URL-Set in das Standort Feld dieses Pakets):

5. png

Schließlich initiiert der Webbrowser eine neue TCP-Verbindung direkt zum Facebook.com-Webserver:

Screenshot 2014-07-04 um 5.11.30 Uhr. png

Besitzer: gbogojevic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXtCAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language