Wie man die URL-Kategorisierung überprüft: Datenebene und Management-Ebene Unterschiede

Wie man die URL-Kategorisierung überprüft: Datenebene und Management-Ebene Unterschiede

24466
Created On 09/26/18 19:16 PM - Last Modified 05/31/23 21:49 PM


Resolution


Übersicht

Bei der Verwendung der dynamischen URL-Filterfunktion eines Palo Alto Networks-Geräts ist es wichtig, die Unterschiede zwischen Management-Ebene und Data-Plane-URL-Kategorisierung zu verstehen.  Beide spielen eine wichtige Rolle, wenn es dem Gerät ermöglicht, die URL-Filterung korrekt durchzuführen.

Details

Vergewissern Sie sich, dass die dynamische URL-Einstellung auf dem Gerät aktiviert ist, indem Sie Unterbefehl

> konfigurieren

# Show DeviceConfig-Einstellung URL

URL

  dynamisch-URL ja;

}

[Bearbeiten]

Wenn der obige Befehl nichts anzeigt, dann aktivieren Sie ihn mit folgendem Befehl und Commit:

# setzen Deviceconfig Einstellung Url dynamisch-Url ja

# commit

Der folgende Befehl kann verwendet werden, um die Kategorisierung der URL zu testen, da Sie sich nur auf die Managementebene bezieht:

> Test URL www.paloaltonetworks.com

www.paloaltonetworks.com Computer-und-Internet-Sicherheit (Base DB)

Die Ausgabe zeigt, dass die Management-Ebene in der Lage ist, www.paloaltonetworks.com über die Basisdatenbank zu identifizieren.  Dies ist die URL-Datenbank auf der Festplatte.

Führen Sie den Test erneut mit www.example.com. Die Management-Ebene ist nicht in der Lage, eine Kategorisierung für www.example.com zu finden, daher führt Sie eine Cloud-Suche zur Kategorisierung durch. In diesem Beispiel gibt brightcloud eine Kategorie von "Shopping" zurück.

> Test URL www.example.com

Www. example.com Shopping (Cloud DB)

Ein anschließender Lookup für die gleiche URL hat nun www.example.com in der dynamischen Datenbank auf dem Palo Alto Networks-Gerät platziert:

> Test URL www.example.com

Www. Beispiel. com Shopping (Dynamic DB)

Dieser dynamische Datenbankeintrag ist nun für die dataplane des Geräts verfügbar.  Wenn das dataplane nicht in der Lage ist, eine Sitzung zu kategorisieren, die eine HTTP-Anfrage für www.example.com enthält, wird es sich auf die dynamische Datenbank auf der Managementebene beziehen.

Um zu bestätigen, wie das Daten Flugzeug eine URL-Anfrage in einer Sitzung kategorisieren wird, ist es notwendig, den folgenden Befehl zu verwenden:

  • Pan-OS 5,0, 6,0
    > deBug dataplane Test URL-Auflösung-Pfad <URL></URL>
  • Pan-OS 4,1
    > teSt URL-Resolve-Path <URL></URL>

Zunächst starten Sie mit testing www.paloaltonetworks.com.

> Debug dataplane Test URL-auflösen-Path www.paloaltonetworks.com

DP0:

URL www.paloaltonetworks.com, Kategorie ist nicht gelöst, eine Anfrage wurde erfolgreich an den Host gesendet

DP1:

URL www.paloaltonetworks.com, Kategorie ist nicht gelöst, eine Anfrage wurde erfolgreich an den Host gesendet

Beide Daten Ebenen (DP0 & DP1) haben keine Kategorisierung für www.paloaltonetworks.com.  Aufgrund der Tatsache, dass keiner von beiden eine Sitzung (Traffic Durchquerung der Firewall) mit einer HTTP-Anfrage für www. paloaltonetworks verarbeitet haben. COMT ist für die Datenebene notwendig, um die Kategorisierung von der Management-Ebene zu verlangen.  Wir sehen, dass dies in der Botschaft geschehen ist "... ein Antrag wurde erfolgreich an den Gastgeber geschickt".

Ein zusätzliches Mittel, mit dem wir eine erfolgreiche Anfrage ermitteln können, wurde erfolgreich gesendet (von DP zu MP) und erhalten (von MP zu DP) ist durch die Überprüfung der globalen Zähler:

> Counter Global Filter Delta ja | Match url_db

url_db_request 2 0 info URL pktproc Nummer der URL-Datenbank requesturl_db_reply 2 0 info URL pktproc Anzahl der URL-Antwort

Zwei erfolgreiche Anfragen wurden verschickt (eine für jede DP) und erhielten zwei erfolgreiche Antworten (eine für jede DP).  Eine nachträgliche Ausführung von > Test URL-Resolve-Path www.paloaltonetworks.com (Pan-OS 4,1) oder > Debug dataplane Test URL-Resolve-Path www.paloaltonetworks.com (Pan-OS 5,0, 6,0) zeigt an, dass beide Daten Ebenen nun erfolgreich kategorisiert diese URL und zukünftige Anfrage wird nicht an die Management-Ebene für die Kategorisierung gesendet werden, sondern vor Ort auf DP0 und DP1 verarbeitet.

> Debug dataplane Test URL-auflösen-Path www.paloaltonetworks.com

DP0:

URL www.paloaltonetworks.com, Kategorie Computer-und-Internet-Sicherheit

DP1:

URL www.paloaltonetworks.com, Kategorie Computer-und-Internet-Sicherheit

Testen Sie die URL, die unsere Management-Ebene von der Cloud DB gelernt hat, und speichern Sie dann in Ihrer lokalen dynamischen DB.

> Debug dataplane Test URL-auflösen-Path www.example.com

DP0:

URL www.example.com, Kategorie ist nicht gelöst, eine Anfrage wurde erfolgreich an den Host gesendet

DP1:

URL www.example.com, Kategorie ist nicht gelöst, eine Anfrage wurde erfolgreich an den Host gesendet

Die DP hat keine Kategorisierung, deshalb stellt Sie eine Anfrage an das Management-Flugzeug.

> Counter Global Filter Delta ja | Match url_db

url_db_request 2 0 info URL pktproc Nummer der URL-Datenbank requesturl_db_reply 2 0 info URL pktproc Anzahl der URL-Antwort

Eine erfolgreiche Anfrage und Antwort werden in den globalen Zählern angezeigt.  Die folgende Befehls-und Ausgabe zeigt, dass beide dataplanes die richtige Kategorisierung für www.example.com haben.

> Debug dataplane Test URL-auflösen-Path www.example.com

DP0:

URL www.example.com, Kategorie Kids

DP1:

URL www.example.com, Kategorie Kids

admin @ Lab-88-PA5020 >

Besitzer: bvandivier
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3rCAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language