如何验证 URL 分类: 数据平面与管理平面差异

如何验证 URL 分类: 数据平面与管理平面差异

24484
Created On 09/26/18 19:16 PM - Last Modified 05/31/23 21:49 PM


Resolution


概述

在使用帕洛阿尔托网络设备的动态 URL 过滤功能时, 了解管理平面和数据平面 URL 分类之间的区别是很重要的。  两者在允许设备正确执行 URL 筛选方面起着重要作用。

详细

请确保在设备上使用以下命令启用动态 url 设置:

> 配置

# 显示 deviceconfig 设置 url

url

  动态 url 是;

}

[编辑]

如果上面的命令没有显示任何内容, 请使用下面的命令并提交来启用它:

# 设置 deviceconfig 设置 url 的动态 url 是

# 提交

以下命令可用于测试 URL 分类, 因为它仅与管理平面有关:

>> 测试 url www.paloaltonetworks.com

www.paloaltonetworks.com 计算机和互联网安全 (基 db)

输出显示管理平面能够使用基数据库识别 www.paloaltonetworks.com。  这是磁盘上的 URL 数据库。

使用 www.example.com 再次执行测试。管理平面无法找到 www.example.com 的分类, 因此它执行用于分类的云查找。在本例中, BrightCloud 返回一个 "购物" 类别。

>> 测试 url www.example.com

Www。example.com购物 (云 db)

对同一 URL 的后续查找现在已将 www.example.com 放在帕洛阿尔托网络设备上的动态数据库中:

>> 测试 url www.example.com

Www。示例. com购物 (动态 db)

此动态数据库项现在可用于设备的 dataplane。  如果 dataplane 无法对包含 www.example.com HTTP 请求的会话进行分类, 它将引用管理平面上的动态数据库。

要确认数据平面将如何对会话中的 URL 请求进行分类, 必须使用以下命令:

  • PAN OS 5.0, 6.0
    >> debug dataplane 测试 url <URL></URL> -解析路径
  • 泛 OS 4.1
    >> test url 解析路径<URL></URL>

首先, 从测试 www.paloaltonetworks.com 开始。

>>调试 dataplane 测试 url-解析路径www.paloaltonetworks.com

DP0:

URL www.paloaltonetworks.com, 类别未解析, 请求已成功发送到主机

DP1:

URL www.paloaltonetworks.com, 类别未解析, 请求已成功发送到主机

两个数据平面 (DP0 和 DP1) 对 www.paloaltonetworks.com 没有分类。  由于没有处理过会话 (通过防火墙传输的通信), 因此数据平面从管理平面请求分类是必要的, 因为它包含了对 www.paloaltonetworks.comt 的 HTTP 请求。  我们可以看到, 这已经在消息中完成了 "... 请求已成功发送到主机".

通过检查全局计数器, 我们可以确定成功的请求已成功发送 (从 DP 到 MP) 并收到 (从 MP 到 DP) 的其他方法:

>> 显示计数器全局筛选器三角洲是 |匹配 url_db

url_db_request 2 0 信息 url pktproc url 数据库 requesturl_db_reply 2 0 信息 url pktproc url 应答数

已发送两个成功的请求 (每个 dp 一个), 并收到两个成功的答复 (每个 dp 一个)。  随后执行>> 测试 url 解析路径www.paloaltonetworks.com (pan os 4.1) 或>>调试 dataplane 测试 url 解析路径www.paloaltonetworks.com (pan os 5.0, 6.0) 表明, 两个数据平面现在已经成功地分类此 URL 和将来的请求将不会发送到管理平面进行分类, 而是在本地对 DP0 和 DP1 进行处理.

>>调试 dataplane 测试 url-解析路径www.paloaltonetworks.com

DP0:

网址 www.paloaltonetworks.com, 分类计算机和互联网-安全

DP1:

网址 www.paloaltonetworks.com, 分类计算机和互联网-安全

测试我们的管理平面从云 db 学到的 URL, 然后存储在它的本地动态数据库中。

>>调试 dataplane 测试 url-解析路径 www.example.com

DP0:

URL www.example.com, 类别未解析, 请求已成功发送到主机

DP1:

URL www.example.com, 类别未解析, 请求已成功发送到主机

DP 没有分类因此它将请求放到管理平面上。

>> 显示计数器全局筛选器三角洲是 |匹配 url_db

url_db_request 2 0 信息 url pktproc url 数据库 requesturl_db_reply 2 0 信息 url pktproc url 应答数

成功的请求和答复显示在全局计数器中。  下面的命令和输出显示两个 dataplanes 对 www.example.com 有正确的分类。

>>调试 dataplane 测试 url-解析路径 www.example.com

DP0:

URL www.example.com, 类别的孩子

DP1:

URL www.example.com, 类别的孩子

admin@lab-88-PA5020>

所有者: bvandivier
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm3rCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language