[URL の継続] オプションがパケットレベルでどのように機能するか

[URL の継続] オプションがパケットレベルでどのように機能するか

48207
Created On 09/25/18 19:24 PM - Last Modified 06/13/23 02:44 AM


Resolution


詳細

このドキュメントのシナリオでは、"ソーシャルネットワーキング" カテゴリの "URL フィルタリング" プロファイルを使用して、"続行" というアクションを実行する例を示します。クライアント側でパケットキャプチャが行われました。HTTP/HTTPS トラフィックの場合、URL プロファイルを使用してセキュリティポリシーにヒットすると、"continue" 応答が web ブラウザに表示されます (以下に示す例では、 http://facebook.comページ )。

スクリーンショット2014-07-04 で 5.12.17 pm.

TCP セッションが確立されると (パケット 268-270)、http トラフィックは "continue" アクションで構成された URL カテゴリと一致するので、パロアルトネットワークデバイスは以下のように http 302 リダイレクトメッセージを送信します (パケット番号 272)。このパケットで指定されたリダイレクトの場所は次のとおりです: "http://173.252.110.27:6080/php/urlblock.php?vsys=1&cat=10014&title=social-networking&rulename=permit-all&uid=16&url=http://facebook.com%2f" (web で見られるのと同じ URI上記の例では、ブラウザ)。この URI には、url カテゴリと元の url が含まれます。このパケットが web ブラウザによって受信されると、既存の TCP セッションは破棄されます (パケット番号 276)。

2. png

次に、ブラウザは、パロアルトネットワークデバイスから送信された HTTP 302 メッセージで指定されたポート6080を使用して、新しい TCP セッション (パケット 277-279) を開始します。パケット番号280は、web ブラウザから送信された HTTP 要求を示しています。このパケットの http GET メッセージには、http 302 メッセージの場所フィールドから取得されたパスが含まれています。

3. png

以下に示すセッションでは、パロアルトネットワークデバイスは HTTP 200 OK メッセージ (パケット番号 284) を送信します。このパケットは、"continue" ボタンのための HTML コードを含み、そして、ウェブ・ブラウザーがこの包みを受けるときに、それは、"continue" ページを見せます (この文書の一番上の最初のイメージ):

4. png

次の CLI コマンドを使用して、"パノス-web インターフェイス" として認識されるパロアルトネットワークデバイスのセッションを確認します。

> すべてのフィルタソース192.168.193.3 セッションを表示

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

ID アプリケーションの状態の種類フラグ Src [スポーツ]/Zone/Proto (翻訳 ip [ポート])Vsys Dst [Dport]/Zone (変換された ip アドレス [ポート])         

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------

1192パノス-ウェブインターフェイスアクティブフロー ND 192.168.193.3 [2569]/Trust/6 (192.168.193.3 [2569]) vsys 1173.252.110.27 [6080]/captive-portal (127.131.1.1 [6180])

[...]

クライアントは、"続行" ボタンを押すと、パロアルトネットワークデバイスは、最終的な宛先に web ブラウザをリダイレクトします。パケット番号388は、エンドユーザーによって "Continue" ボタンが押された瞬間を示し、パケット番号390は、パロアルトネットワーク web サーバーによって生成された HTTP 302 メッセージを示しています (このパケットには、元の http://facebook.com URL が設定このパケットの場所フィールド):

5. png

最後に、web ブラウザは、facebook.com web サーバーに対して新しい TCP 接続を直接開始します。

スクリーンショット2014-07-04 で 5.11.30 pm.

所有者: gbogojevic
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClXtCAK&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language