URL Filterblock zeigt End-Grund der Bedrohung an
50905
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:35 PM
Symptom
Der Webbrowserdatenverkehr für dieselbe Sitzung, die vom Filterprofil blockiert wird, URL zeigt zwei separate Protokolleinträge an. Eine zeigt eine "allow"-Aktion und die andere zeigt "block-url". Obwohl der Verkehr blockiert wurde, gibt es dafür keinen Eintrag innerhalb der Bedrohungsprotokolle.
Sitzung ID dafür ist 73419. Bei der Suche nach dieser Sitzung ID in den Bedrohungsprotokollen sind keine Einträge vorhanden.
Cause
Nach der Sitzungserstellung führt der firewall "Content Inspection Setup" durch. Das URL Filtermodul bestimmt die URL und ergreift geeignete Maßnahmen.
In diesem Artikel wird die URL Filterpriorität erläutert: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC
Resolution
Für diesen Datenverkehr wird die Kategorie "private-ip-addresses" blockiert. Sobald der firewall bestimmt, URL dass die kategorie trifft, die auf Blockieren gesetzt ist, firewall wird eine Blockwebseite injiziert. In den Filterprotokollen wird ein Protokolleintrag angezeigt, URL der die , die Kategorie und die URL ausgeführte Aktion anzeigt.
Da die Blockaktion für die URL Filterung im ID Inhaltsmodul erfolgte, firewall wurde die Sitzung perspektivisch TCP ohne Block des firewall Moduls durchgeführt. Das firewall Modul wird diese Sitzung wie erlaubt anzeigen. Der Verkehr ist weiterhin aufgrund von ID Inhalts-Engine-Blockierung blockiert. Das Ergebnis dieses Verhaltens sind zwei separate Protokolleinträge für eine einzelne Sitzung.
Da das ID Inhaltsmodul die Sitzung vor dem Timeout der Sitzung blockiert hat, zeigt der URL Blockaktionsprotokolleintrag eine Empfangszeit vor dem firewall Protokolleintrag mit der Aktion "Zulassen" an.
Ein wichtiger Hinweis ist, dass nicht alle Sitzungen, die den Endgrund der "Bedrohung" anzeigen, in den Bedrohungsprotokollen protokolliert werden.
Als Referenz werden die folgenden konfigurierbaren Profile Einträge in den folgenden Protokollen enthalten.
Überwachen > Protokolle:
- Bedrohung: Virenschutz, Anti-Spyware, Schutz vor Sicherheitsanfälligkeiten, DoS-Schutz
- URL Filtern: URL Filterprofil
- Datenfilterung: Dateiblockierung, Datenfilterung