Comment vérifier la catégorisation d'URL: plan de données et différences de plan de gestion

Comment vérifier la catégorisation d'URL: plan de données et différences de plan de gestion

24474
Created On 09/26/18 19:16 PM - Last Modified 05/31/23 21:49 PM


Resolution


Vue d’ensemble

Lorsque vous utilisez la fonctionnalité de filtrage d'URL dynamique d'un appareil de Palo Alto Networks, il est important de comprendre les différences entre le plan de gestion et la catégorisation des URL de plan de données.  Les deux jouent un rôle important en permettant au dispositif d'effectuer correctement le filtrage d'URL.

Détails

Assurez-vous que le paramètre d'URL dynamique est activé sur le périphérique en utilisant la commande ci-dessous:

> configurer

# Show deviceconfig paramètre URL

URL

  Dynamic-URL Oui;

}

[modifier]

Si la commande ci-dessus n'affiche rien, activez-la à l'aide de la commande suivante et validez:

# définir deviceconfig paramètre url dynamique-url Oui

commit #

La commande suivante peut être utilisée pour tester la catégorisation d'URL en relation avec le plan de gestion uniquement:

> test URL www.paloaltonetworks.com

www.paloaltonetworks.com ordinateur-et-Internet-sécurité (base dB)

La sortie indique que le plan de gestion est capable d'identifier www.paloaltonetworks.com à l'aide de la base de données de base.  Il s'agit de la base de données d'URL sur disque.

Effectuez à nouveau le test avec www.example.com. Le plan de gestion est incapable de trouver une catégorisation pour www.example.com, par conséquent, il effectue une recherche de nuage pour la catégorisation. Dans cet exemple, BrightCloud retourne une catégorie de «shopping».

> test URL www.example.com

Www. example.com shopping (Cloud dB)

Une recherche ultérieure pour la même URL a maintenant placé www.example.com dans la base de données dynamique sur l'appareil de Palo Alto Networks:

> test URL www.example.com

Www. exemple. com shopping (Dynamic dB)

Cette entrée de base de données dynamique est maintenant disponible pour le dataplane de l'appareil.  Si dataplane n'est pas en mesure de catégoriser une session qui inclut une requête HTTP pour www.example.com, elle se référera à la base de données dynamique sur le plan de gestion.

Pour confirmer la façon dont le plan de données catégorisera une demande d'URL dans une session, il est nécessaire d'utiliser la commande suivante:

  • Pan-OS 5,0, 6,0
    > debug dataplane test URL-Resolve- <URL></URL> Path
  • Pan-OS 4,1
    > teSt URL-Resolve- <URL></URL> Path

Tout d'abord, commencez par tester www.paloaltonetworks.com.

> Debug dataplane test URL-Resolve-Path www.paloaltonetworks.com

DP0 :

URL www.paloaltonetworks.com, Category n'est pas résolue, une demande a été envoyée avec succès à l'hôte

DP1 :

URL www.paloaltonetworks.com, Category n'est pas résolue, une demande a été envoyée avec succès à l'hôte

Les deux avions de données (DP0 & DP1) n'ont pas de catégorisation pour www.paloaltonetworks.com.  En raison du fait que ni ont traité une session (trafic traversant le pare-feu) contenant une requête HTTP pour www. paloaltonetworks. COMT est nécessaire pour le plan de données pour demander la catégorisation à partir du plan de gestion.  Nous pouvons voir que cela a été fait dans le message "... une demande a été envoyée avec succès à l'hôte".

Un moyen supplémentaire par lequel nous pouvons déterminer une demande réussie a été envoyé avec succès (de DP à MP) et a reçu (de MP à DP) est en vérifiant les compteurs globaux:

> Show Counter global filtre Delta Oui | allumette url_db

url_db_request 2 0 info URL pktproc nombre de base de données URL requesturl_db_reply 2 0 info URL pktproc nombre de réponse URL

Deux demandes réussies ont été envoyées (une pour chaque DP) et ont reçu deux réponses réussies (une pour chaque DP).  Une exécution ultérieure de > test URL-Resolve-Path www.paloaltonetworks.com (Pan-OS 4,1) ou > Debug dataplane test URL-Resolve-Path www.paloaltonetworks.com (Pan-OS 5,0, 6,0) indique que les deux avions de données ont maintenant réussi classés cette URL et la demande future ne seront pas envoyées au plan de gestion pour la catégorisation, mais plutôt traitées localement sur DP0 et DP1.

> Debug dataplane test URL-Resolve-Path www.paloaltonetworks.com

DP0 :

URL www.paloaltonetworks.com, catégorie ordinateur-et-Internet-sécurité

DP1 :

URL www.paloaltonetworks.com, catégorie ordinateur-et-Internet-sécurité

Testez l'URL que notre plan de gestion a apprise à partir du Cloud dB, puis stockez-la dans sa DB dynamique locale.

> Debug dataplane test URL-Resolve-Path www.example.com

DP0 :

URL www.example.com, Category n'est pas résolue, une demande a été envoyée avec succès à l'hôte

DP1 :

URL www.example.com, Category n'est pas résolue, une demande a été envoyée avec succès à l'hôte

Le DP n'a pas de catégorisation par conséquent, il place une demande à l'avion de gestion.

> Show Counter global filtre Delta Oui | allumette url_db

url_db_request 2 0 info URL pktproc nombre de base de données URL requesturl_db_reply 2 0 info URL pktproc nombre de réponse URL

Une demande et une réponse réussies sont affichées dans les compteurs globaux.  La commande et la sortie suivantes montrent que les deux dataplanes ont la catégorisation correcte pour www.example.com.

> Debug dataplane test URL-Resolve-Path www.example.com

DP0 :

URL www.example.com, catégorie Kids

DP1 :

URL www.example.com, catégorie Kids

admin @ Lab-88-PA5020 >

propriétaire: bvandivier
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3rCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language