概述
帕洛阿尔托网络防火墙如果与不正确的类别关联, 则可以阻止对 URL 的访问。如果防火墙的信息不是最新的, 则可能会发生这种情况。
执行以下操作以验证 URL 是否与不正确的类别关联:
- 清除数据平面的 URL 缓存。
- 更新 URL 数据库。
- 测试 url
本文档的目的是描述如何使用 BrightCloud、PAN DB 和直接从 CLI 测试 url。
详细
BrightCloud
- 要测试防火墙如何对 URL 进行分类, 请使用以下命令:
>> 测试 url www.paloaltonetworks.com
www.paloaltonetworks.com 计算机和互联网安全 (基 db) - 将此输出与BrightCloud URL/IP 查找页中的输出进行比较.
注意:如果 BrightCloud 结果不同, 请使用 "设备 > 动态更新" 页上的 UI 下载更新的数据库.
如果测试 url输出与 BrightCloud url/IP 查找页匹配, 则基 BrightCloud 数据库的数据平面版本已损坏、不完整或不正确. - 使用以下命令从数据平面清除缓存的版本:
>> 清除 url-缓存所有 - 下一次尝试解析基数据库 URL 将导致数据平面缓存从管理平面上存在的基数据库重新填充。
注意:请确保您具有最新的 BrightCloud 数据库更新. - 如果在云中动态解析 URL, 并且从数据平面缓存中解析的类别不再正确, 请使用以下命令从动态管理平面缓存中清除这些项:
>> 删除动态 URL 主机名<url></url>
在下次尝试解析此动态 URL 时, 防火墙将通过 BrightCloud 云解析该类别, 结果将缓存在数据平面上。
潘 DB
对泛 DB URL 分类数据库的订阅提供了一些有助于揭示和解决差异的命令。url 数据库存储在管理平面上, 并且在数据平面上缓存 url 分辨率。
- 测试 URL。
以下测试命令提供管理平面中 URL 数据库的结果。第一个命令可能是您需要验证 URL 数据库与云具有相同信息的所有内容:
>> 测试 url www.paloaltonetworks.com
www.paloaltonetworks.com 计算机和互联网信息 (基 db) 在600秒内过期
www.paloaltonetworks.com 计算机与互联网信息 (云 db)
如果与云数据库相比, 基数据库的结果不同 (且不正确), 则需要更新数据库。可以在 "设备 > 动态更新" 或 CLI 命令下的 web 用户界面上完成此操作 (如下节所述)。
将上面的输出与云中已知的内容进行比较, 使用以下命令:
>> 测试 url-信息-云 www.paloaltonetworks.com
BM:
paloaltonetworks, 95, 计算机和互联网-信息
网络邮件, 15, 基于 web 的电子邮件 paloaltonetworks
下面的命令可以显示有关在管理平面中缓存的 URL 的详细信息:
>> 测试网址-信息-主机 www.paloaltonetworks.com
祖先信息:
paloaltonetworks, 15, 电脑和互联网信息,
BM:
paloaltonetworks, 15, 电脑和互联网信息,
后代信息:
paloaltonetworks, 15, 基于 web 的电子邮件,
- 清除数据平面缓存。
如果 "测试 url" 命令显示管理平面和云同意正确的分类, 但由于分类不正确而阻止了 url, 则清除该 url 的数据平面缓存的方法如下:
>> 清除 url 缓存 url<URL></URL>
或者, 可以清除整个缓存:
> 清除 url 缓存所有
从 CLI 更新泛 DB URL 数据库
如果 "测试 url"命令显示管理平面与 url 的云具有不同的分类, 则需要更新特定的 url 或整个 url 数据库. 同样, 更新整个数据库可以在 "设备 > 动态更新" 下的 UI 中完成。
注意:动态更新可以并且应该安排, 以确保防火墙具有最新信息.
按照以下说明, 从 CLI 测试防火墙的动态更新:
- 使用以下命令从云下载最新的 PAN DB url 分类数据库:
>> 请求 URL 筛选下载 paloaltonetworks 区域<Region></Region> - 显示数据库的状态下载
> 请求 url 筛选下载状态供应商 paloaltonetworks
注意:数据库在下载后可以使用. 您可以再次尝试连接到以前被阻止的 URL。
所有者︰ jjosephs