Wie man die URL-Kategorisierung überprüft: Datenebene und Management-Ebene Unterschiede
Resolution
Übersicht
Bei der Verwendung der dynamischen URL-Filterfunktion eines Palo Alto Networks-Geräts ist es wichtig, die Unterschiede zwischen Management-Ebene und Data-Plane-URL-Kategorisierung zu verstehen. Beide spielen eine wichtige Rolle, wenn es dem Gerät ermöglicht, die URL-Filterung korrekt durchzuführen.
Details
Vergewissern Sie sich, dass die dynamische URL-Einstellung auf dem Gerät aktiviert ist, indem Sie Unterbefehl
> konfigurieren
# Show DeviceConfig-Einstellung URL
URL
dynamisch-URL ja;
}
[Bearbeiten]
Wenn der obige Befehl nichts anzeigt, dann aktivieren Sie ihn mit folgendem Befehl und Commit:
# setzen Deviceconfig Einstellung Url dynamisch-Url ja
# commit
Der folgende Befehl kann verwendet werden, um die Kategorisierung der URL zu testen, da Sie sich nur auf die Managementebene bezieht:
> Test URL www.paloaltonetworks.com
www.paloaltonetworks.com Computer-und-Internet-Sicherheit (Base DB)
Die Ausgabe zeigt, dass die Management-Ebene in der Lage ist, www.paloaltonetworks.com über die Basisdatenbank zu identifizieren. Dies ist die URL-Datenbank auf der Festplatte.
Führen Sie den Test erneut mit www.example.com. Die Management-Ebene ist nicht in der Lage, eine Kategorisierung für www.example.com zu finden, daher führt Sie eine Cloud-Suche zur Kategorisierung durch. In diesem Beispiel gibt brightcloud eine Kategorie von "Shopping" zurück.
> Test URL www.example.com
Www. example.com Shopping (Cloud DB)
Ein anschließender Lookup für die gleiche URL hat nun www.example.com in der dynamischen Datenbank auf dem Palo Alto Networks-Gerät platziert:
> Test URL www.example.com
Www. Beispiel. com Shopping (Dynamic DB)
Dieser dynamische Datenbankeintrag ist nun für die dataplane des Geräts verfügbar. Wenn das dataplane nicht in der Lage ist, eine Sitzung zu kategorisieren, die eine HTTP-Anfrage für www.example.com enthält, wird es sich auf die dynamische Datenbank auf der Managementebene beziehen.
Um zu bestätigen, wie das Daten Flugzeug eine URL-Anfrage in einer Sitzung kategorisieren wird, ist es notwendig, den folgenden Befehl zu verwenden:
- Pan-OS 5,0, 6,0
> deBug dataplane Test URL-Auflösung-Pfad <URL></URL> - Pan-OS 4,1
> teSt URL-Resolve-Path <URL></URL>
Zunächst starten Sie mit testing www.paloaltonetworks.com.
> Debug dataplane Test URL-auflösen-Path www.paloaltonetworks.com
DP0:
URL www.paloaltonetworks.com, Kategorie ist nicht gelöst, eine Anfrage wurde erfolgreich an den Host gesendet
DP1:
URL www.paloaltonetworks.com, Kategorie ist nicht gelöst, eine Anfrage wurde erfolgreich an den Host gesendet
Beide Daten Ebenen (DP0 & DP1) haben keine Kategorisierung für www.paloaltonetworks.com. Aufgrund der Tatsache, dass keiner von beiden eine Sitzung (Traffic Durchquerung der Firewall) mit einer HTTP-Anfrage für www. paloaltonetworks verarbeitet haben. COMT ist für die Datenebene notwendig, um die Kategorisierung von der Management-Ebene zu verlangen. Wir sehen, dass dies in der Botschaft geschehen ist "... ein Antrag wurde erfolgreich an den Gastgeber geschickt".
Ein zusätzliches Mittel, mit dem wir eine erfolgreiche Anfrage ermitteln können, wurde erfolgreich gesendet (von DP zu MP) und erhalten (von MP zu DP) ist durch die Überprüfung der globalen Zähler:
> Counter Global Filter Delta ja | Match url_db
url_db_request 2 0 info URL pktproc Nummer der URL-Datenbank requesturl_db_reply 2 0 info URL pktproc Anzahl der URL-Antwort
Zwei erfolgreiche Anfragen wurden verschickt (eine für jede DP) und erhielten zwei erfolgreiche Antworten (eine für jede DP). Eine nachträgliche Ausführung von > Test URL-Resolve-Path www.paloaltonetworks.com (Pan-OS 4,1) oder > Debug dataplane Test URL-Resolve-Path www.paloaltonetworks.com (Pan-OS 5,0, 6,0) zeigt an, dass beide Daten Ebenen nun erfolgreich kategorisiert diese URL und zukünftige Anfrage wird nicht an die Management-Ebene für die Kategorisierung gesendet werden, sondern vor Ort auf DP0 und DP1 verarbeitet.
> Debug dataplane Test URL-auflösen-Path www.paloaltonetworks.com
DP0:
URL www.paloaltonetworks.com, Kategorie Computer-und-Internet-Sicherheit
DP1:
URL www.paloaltonetworks.com, Kategorie Computer-und-Internet-Sicherheit
Testen Sie die URL, die unsere Management-Ebene von der Cloud DB gelernt hat, und speichern Sie dann in Ihrer lokalen dynamischen DB.
> Debug dataplane Test URL-auflösen-Path www.example.com
DP0:
URL www.example.com, Kategorie ist nicht gelöst, eine Anfrage wurde erfolgreich an den Host gesendet
DP1:
URL www.example.com, Kategorie ist nicht gelöst, eine Anfrage wurde erfolgreich an den Host gesendet
Die DP hat keine Kategorisierung, deshalb stellt Sie eine Anfrage an das Management-Flugzeug.
> Counter Global Filter Delta ja | Match url_db
url_db_request 2 0 info URL pktproc Nummer der URL-Datenbank requesturl_db_reply 2 0 info URL pktproc Anzahl der URL-Antwort
Eine erfolgreiche Anfrage und Antwort werden in den globalen Zählern angezeigt. Die folgende Befehls-und Ausgabe zeigt, dass beide dataplanes die richtige Kategorisierung für www.example.com haben.
> Debug dataplane Test URL-auflösen-Path www.example.com
DP0:
URL www.example.com, Kategorie Kids
DP1:
URL www.example.com, Kategorie Kids
admin @ Lab-88-PA5020 >
Besitzer: bvandivier