Block-weitere Seiten download Begrenzung auf Firewalls von Palo Alto Networks

Es ist eine Einschränkung bei der Verwendung der Palo Alto Networks Firewall, wenn mit einer Datei blockiert Profil konfiguriert. Palo Alto Networks Firewall muss eine Datei im ersten http-Paket an den Server gesendet werden, um eine Seite weiter-Block an den Client senden identifizieren.  

Auch wenn die Firewall die Sperrseite liefert, würde ein Browser nur denken, dass die Antwortseite Teil der Datei ist statt interpretieren sie als Web-Seite und der Download wird nicht abgeschlossen.

Ursache

Diese Einschränkung wird übrigens die HTTP-Protokoll arbeiten verursacht. Einfach ausgedrückt, wenn die Dateiübertragung nicht im ersten http-Paket vom Server gestartet wird, würde der Browser nicht weiter Seite verstehen, auch wenn wir es senden, da er bereits die Datei erwartet. Diese Einschränkung gibt es für alle Hersteller, nicht nur Palo Alto Networks, und es ist keine Abhilfe in der Firewall selbst.

Dieses Problem zu umgehen

Die einzige Möglichkeit zur Umgehung dieses Verhalten ist zu ändern auf dem Web-Server (Web-Server in die Art und Weise, es beginnt mit dem Senden von Dateien im ersten Paket, konfigurieren).

Beispiel für das Problem

Im folgenden Beispiel, sendet der Server zuerst http-Antwort-Paket (200 OK), dann es beginnt mit dem Senden von Dateidaten im separaten Paket, obwohl erste http-Paket klein ist und Dateidaten als Bestandteil dieses Paket gesendet wurde konnte. In diesem Fall werden wir nicht in der Lage, die Seite weiter-Block zu injizieren.

1. Server sendet 200 OK-Antwort:

2. Datei-Datenübertragung startet in das nächste Paket:

Beispiel wurde behoben

Im folgenden Beispiel weiter Sperrseite eingesetzt werden - Server wird gestartet, um die Datei im ersten http-Paket senden: