Symptômes
Le test d'une URL à l'aide de la commande URL de test affiche la catégorie correcte, mais lorsqu'un utilisateur visite la même page Web, la page est catégorisée comme inconnue dans les journaux. Le problème persiste même avec l’option activée dans le profil de filtrage URL de filtrage d’URL dynamique.
Demande client
Cela pourrait être le résultat de la configuration ne pas de profil de filtrage URL sur toutes les règles de sécurité.
Exemple:
- Règle 1 : L’utilisateur A est autorisé partout sur internet et aucun politique de filtrage d’URL n’est configuré sur cette règle
- Règle 2 : Une stratégie de filtrage d’URL est en place pour « refuser l’accès à »
Lorsque l’utilisateur A navigue sites, règle 1 correspond à toutes les connexions et parce qu’aucun profil de filtrage URL n’est activée sur cette règle, journaux ne contiennent pas une catégorie d’URL pour les sites Web qui ont été consultées. Le trafic journaux montrent source et adresse IP de destination, mais les journaux de filtrage d’URL ne montrent pas ces connexions.
Résolution
Configurer une URL filtrage profil sur toutes les stratégies de sécurité nécessaires lorsque le filtrage d’URL est souhaité. Un profil de filtrage d’URL peut être créé, ce qui permet à tout, puis appliqué à la règle permettant à toutes les catégories (règle 1 dans l’exemple ci-dessous). Règle 2 utiliserait la politique de filtrage d’URL plus restreint.
Vous pouvez également configurer un paramètre via la CLI qui utilise le paramètre global dynamique-url des règles qui n’ont pas activé des profils filtrage URL :
> configurer
# définir deviceconfig paramètre url dynamique-url Oui
commit #
Cette option de configuration est disponible à partir d’avec PAN-OS 4.1.3. Vous devez également effacer le cache de l’URL de la nouvelle configuration soit prise en compte à l’avenir. La commande pour effacer le cache de l’URL est :
> effacer url-cache toutes les
Si l’effacement du cache de l’URL n’aide pas, alors l’url dynamique doit être supprimé manuellement (par l’hôte ou la totalité) avec la commande suivante :
> supprimer dynamique-url hôte nom/tous
Remarque: les journaux de filtrage d'URL sont générés uniquement lorsque l'action est définie sur Alert, Block ou continue.
propriétaire : sdurga