詳細

このシナリオでは、ユーザーが "https://exchange.leapfile.com/" にアクセスしていたときに、ドロップするための "拒否-アプリ" ルールにヒットしますが、次のトラフィックログを見ることができます。

次のトラフィックログを参照してください。

===========================================================================
 交通ログ-NG の場合
===========================================================================
Receive_T Dest_addr ルールアプリ S_Port D_Port アクションカテゴリ
 8/25 9:55 54.227.253.124 url ブロックのweb ブラウジング 55888 443 を許可するオンライン- 
ストレージとバックアップ

"url ブロック" ルールを無効にした後、期待どおりに "拒否-アプリ" ルールに達する。

===========================================================================
 トラフィックログ-OK ケース
===========================================================================
Receive_T Dest_addr ルールアプリ S_Port D_Port アクションカテゴリ
 8/25 9:56 54.227.253.124拒否-アプリleapfile 55895 443 拒否オンライン- 
ストレージとバックアップ
 

として、"設定 deviceconfig の設定は、ssl-復号化の url-プロキシはい" は、パロアルトネットワークファイアウォールでは、ファイアウォールの url ブロックページに一致する url の場合に送信されます。この場合、ファイアウォールは、パロアルトネットワークファイアウォールがアプリケーションを "leapfile" に設定する機会がある前に、URL ブロックページを送信します。最初のルール拒否-App では、URL ブロックポリシーがないことを確認します。パロアルトネットワークファイアウォールは、アプリを識別する前に URL ブロックページを送信しません。アプリが設定されると、アプリケーションは "拒否-アプリ" ルールによって拒否されます。

構成の詳細については、次のリンクを参照してください。SSL 復号化なしで HTTPS セッションを介して URL 応答ページを提供するようにパロアルトネットワークデバイスを構成する方法

次の構成コマンドを使用して、HTTPS セッション内に URL フィルタリング応答ページを挿入できるように、パロアルトネットワークデバイスの機能を有効にします。

> 設定 deviceconfig 設定 ssl-復号化 url-プロキシはい

所有者: kkondo