Hay una limitación cuando se utiliza el firewall de Palo Alto Networks con un perfil de bloqueo de archivo. El firewall de Palo Alto Networks debe identificar un archivo en el primer paquete HTTP enviado por el servidor para enviar una página de continuar en bloque al cliente.
Incluso si el firewall suministra la página de bloque, un navegador sólo pensaría que la página de respuesta es parte del archivo en lugar de interpretarlo como una página web y la descarga no se completa.
Causa
Esta limitación es causada por el camino los trabajos de protocolo HTTP. En pocas palabras, si la transferencia de archivos no se inicia en el primer paquete HTTP desde el servidor, el navegador no entenderían la página continuar incluso si la enviamos, porque ya espera el archivo. Esta limitación existe para todos los proveedores, no sólo de Palo Alto Networks, y no hay una solución en el cortafuegos propiamente dicho.
Solución alternativa
La única forma para solucionar este comportamiento es cambiar en el servidor web (configurar el servidor web en el camino se inicia envío de archivos en el paquete de primera).
Ejemplo de la cuestión
En el ejemplo siguiente, el servidor envía primer paquete de respuesta HTTP (200 OK), luego comienza a enviar datos de archivo en el paquete separado, aunque primer paquete HTTP es pequeño, y datos de archivo pueden han sido enviados como parte de ese paquete. En este caso, no podremos inyectar la página continuar en bloque.
- Servidor envía 200 respuesta OK:
- Archivo de transmisión de datos comienza en el siguiente paquete:
Ejemplo fijada
En el ejemplo siguiente, página continuar en bloque puede ser insertado - servidor comienza a enviar el archivo en el primer paquete HTTP: