Bloc-continuer pages téléchargement limitation sur les pare-feu de Palo Alto Networks

Il existe une limitation lorsque vous utilisez le pare-feu de Palo Alto Networks lorsqu’il est configuré avec un profil de fichier de blocage. Le pare-feu de Palo Alto Networks doit identifier un fichier dans le premier paquet HTTP envoyé par le serveur pour envoyer une page de continuer-blocage au client.  

Même si le pare-feu fournit la page de blocage, un navigateur serait de penser que la page de réponse fait partie du fichier au lieu de l’interpréter comme une page web et le téléchargement ne se terminera pas.

Cause

Cette limitation est causée par la façon dont les œuvres de protocole HTTP. Autrement dit, si le transfert de fichiers ne démarre pas dans le premier paquet HTTP du serveur, le navigateur ne comprendraient pas la page de continuer même si nous l’envoyer, car il attend déjà le fichier. Cette limitation existe pour tous les fabricants, non seulement de Palo Alto Networks, et il n’y a pas une solution de contournement sur le pare-feu lui-même.

Pour résoudre ce problème

La seule façon de contourner ce problème est de le changer sur le côté de serveur web (configurer le serveur web dans la façon dont il commence à envoyer les fichiers dans le premier paquet).

Exemple de la question

Dans l’exemple ci-dessous, le serveur envoie en premier paquet de réponse HTTP (200 OK), puis il commence à envoyer les données du fichier dans le paquet distinct, même si le premier paquet HTTP est petite, et les données du fichier pourraient ont été envoyées dans le cadre du paquet. Dans ce cas, nous ne serons pas en mesure d’injecter la page continuer-bloc.

1. Serveur envoie une réponse OK 200 :

2. Transmission de données de fichiers commence dans le paquet suivant :

Exemple de correction

Dans l’exemple ci-dessous, page continuer-bloc peut être inséré - serveur commence à envoyer le fichier dans le premier paquet HTTP :