詳細
このシナリオでは、ユーザーが "https://exchange.leapfile.com/" にアクセスしていたときに、ドロップするための "拒否-アプリ" ルールにヒットしますが、次のトラフィックログを見ることができます。
次のトラフィックログを参照してください。
===========================================================================
交通ログ-NG の場合
===========================================================================
Receive_T Dest_addr ルールアプリ S_Port D_Port アクションカテゴリ
8/25 9:55 54.227.253.124 url ブロックのweb ブラウジング 55888 443 を許可するオンライン-
ストレージとバックアップ
"url ブロック" ルールを無効にした後、期待どおりに "拒否-アプリ" ルールに達する。
===========================================================================
トラフィックログ-OK ケース
===========================================================================
Receive_T Dest_addr ルールアプリ S_Port D_Port アクションカテゴリ
8/25 9:56 54.227.253.124拒否-アプリleapfile 55895 443 拒否オンライン-
ストレージとバックアップ
として、"設定 deviceconfig の設定は、ssl-復号化の url-プロキシはい" は、パロアルトネットワークファイアウォールでは、ファイアウォールの url ブロックページに一致する url の場合に送信されます。この場合、ファイアウォールは、パロアルトネットワークファイアウォールがアプリケーションを "leapfile" に設定する機会がある前に、URL ブロックページを送信します。最初のルール拒否-App では、URL ブロックポリシーがないことを確認します。パロアルトネットワークファイアウォールは、アプリを識別する前に URL ブロックページを送信しません。アプリが設定されると、アプリケーションは "拒否-アプリ" ルールによって拒否されます。
構成の詳細については、次のリンクを参照してください。SSL 復号化なしで HTTPS セッションを介して URL 応答ページを提供するようにパロアルトネットワークデバイスを構成する方法
次の構成コマンドを使用して、HTTPS セッション内に URL フィルタリング応答ページを挿入できるように、パロアルトネットワークデバイスの機能を有効にします。
> 設定 deviceconfig 設定 ssl-復号化 url-プロキシはい
所有者: kkondo