Cómo verificar la categorización de URL: plano de datos y diferencias de plano de administración
Resolution
Resumen
Cuando se utiliza la característica de filtrado dinámico de URL de un dispositivo de redes palo alto es importante comprender las diferencias entre el plano de administración y la categorización de URL de plano de datos. Ambos juegan un papel importante en permitir que el dispositivo realice correctamente el filtrado de URL.
Detalles
Asegúrese de que el ajuste dinámico de URL está habilitado en el dispositivo mediante el comando siguiente:
> configurar
# Show deviceconfig Setting URL
URL
Dynamic-URL Yes;
}
[editar]
Si el comando anterior no muestra nada, entonces habilitelo usando el siguiente comando y commit:
# configurar deviceconfig configuración url dinámica-url sí
commit de #
El siguiente comando se puede utilizar para probar la categorización de URL en relación con el plano de administración únicamente:
> Test URL www.paloaltonetworks.com
www.paloaltonetworks.com Computer-and-Internet-seguridad (base dB)
La salida muestra que el plano de administración es capaz de identificar www.paloaltonetworks.com utilizando la base de datos base. Esta es la base de datos URL en disco.
Realice la prueba de nuevo con www.example.com. El plano de administración no puede encontrar una categorización para www.example.com, por lo tanto realiza una búsqueda de nube para la categorización. En este ejemplo, BrightCloud devuelve una categoría de "compras".
> Test URL www.example.com
Www. example.com Shopping (Cloud dB)
Una búsqueda posterior para la misma URL ahora ha colocado www.example.com en la base de datos dinámica en el dispositivo Palo Alto Networks:
> Test URL www.example.com
Www. example. com Shopping (dB dinámico)
Esta entrada dinámica de la base de datos está ahora disponible para el plan del dispositivo. Si el plan de datos no puede categorizar una sesión que incluya una solicitud HTTP para www.example.com, se referirá a la base dinámica en el plano de administración.
Para confirmar cómo el plano de datos categorizará una solicitud de URL en una sesión, es necesario utilizar el siguiente comando:
- PAN-os 5,0, 6,0
> debug test planeo URL-resolver-path <URL></URL> - PAN-os 4,1
> teSt URL-resolver-path <URL></URL>
Primero, comience probando www.paloaltonetworks.com.
> URL de prueba de depuración de plano de los resultados-resolución-path www.paloaltonetworks.com
DP0:
URL www.paloaltonetworks.com, la categoría no se resuelve, una solicitud se envió con éxito al host
DP1:
URL www.paloaltonetworks.com, la categoría no se resuelve, una solicitud se envió con éxito al host
Ambos planos de datos (DP0 & DP1) no tienen categorización para www.paloaltonetworks.com. Debido al hecho de que no se ha procesado una sesión (tráfico que atraviesa el cortafuegos) que contiene una solicitud HTTP para www. paloaltonetworks. COMT es necesario para que el plano de datos solicite la categorización desde el plano de administración. Podemos ver que esto se ha hecho en el mensaje "...una solicitud fue enviada con éxito al host".
Un medio adicional por el cual podemos determinar una solicitud exitosa fue enviado con éxito (de DP a MP) y recibido (de MP a DP) es mediante la comprobación de los contadores globales:
> Mostrar contador global filtro Delta sí | Match url_db
url_db_request 2 0 info URL pktproc número de base de datos URL requesturl_db_reply 2 0 info URL pktproc número de respuesta URL
Se han enviado dos solicitudes exitosas (una por cada DP) y se recibieron dos respuestas exitosas (una por cada DP). Una ejecución posterior de > Test URL-Resolve-path www.paloaltonetworks.com (pan-os 4,1) o > Debug Data planeo test URL-Resolve-path www.paloaltonetworks.com (pan-os 5,0, 6,0) indica que ambos planos de datos tienen ahora éxito la categorización de esta URL y la solicitud futura no se enviarán al plano de administración para su categorización, sino que se procesarán localmente en DP0 y DP1.
> URL de prueba de depuración de plano de los resultados-resolución-path www.paloaltonetworks.com
DP0:
URL www.paloaltonetworks.com, Category Computer-and-Internet-seguridad
DP1:
URL www.paloaltonetworks.com, Category Computer-and-Internet-seguridad
Pruebe la URL que nuestro plano de administración aprendió de la DB de nube y, a continuación, almacene en su dB dinámico local.
> URL de prueba de depuración de plano de los resultados-resolución-path www.example.com
DP0:
URL www.example.com, la categoría no se resuelve, una solicitud se envió con éxito al host
DP1:
URL www.example.com, la categoría no se resuelve, una solicitud se envió con éxito al host
El DP no tiene ninguna categorización por lo tanto pone una petición al plano de la gerencia.
> Mostrar contador global filtro Delta sí | Match url_db
url_db_request 2 0 info URL pktproc número de base de datos URL requesturl_db_reply 2 0 info URL pktproc número de respuesta URL
Una solicitud y respuesta satisfactorias se muestran en los contadores globales. El siguiente comando y salida muestra que ambos planes de datos tienen la clasificación correcta para www.example.com.
> URL de prueba de depuración de plano de los resultados-resolución-path www.example.com
DP0:
URL www.example.com, Category Kids
DP1:
URL www.example.com, Category Kids
admin @ Lab-88-pa5020 >
Propietario: bvandivier