Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
URL Filterblock zeigt End-Grund der Bedrohung an - Knowledge Base - Palo Alto Networks

URL Filterblock zeigt End-Grund der Bedrohung an

50905
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:35 PM


Symptom


Der Webbrowserdatenverkehr für dieselbe Sitzung, die vom Filterprofil blockiert wird, URL zeigt zwei separate Protokolleinträge an. Eine zeigt eine "allow"-Aktion und die andere zeigt "block-url". Obwohl der Verkehr blockiert wurde, gibt es dafür keinen Eintrag innerhalb der Bedrohungsprotokolle. 
Benutzeriertes Bild
Benutzeriertes Bild

Sitzung ID dafür ist 73419. Bei der Suche nach dieser Sitzung ID in den Bedrohungsprotokollen sind keine Einträge vorhanden.
Benutzeriertes Bild


Cause


Nach der Sitzungserstellung führt der firewall "Content Inspection Setup" durch. Das URL Filtermodul bestimmt die URL und ergreift geeignete Maßnahmen. 

In diesem Artikel wird die URL Filterpriorität erläutert: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC


Resolution


Für diesen Datenverkehr wird die Kategorie "private-ip-addresses" blockiert. Sobald der firewall bestimmt, URL dass die kategorie trifft, die auf Blockieren gesetzt ist, firewall wird eine Blockwebseite injiziert. In den Filterprotokollen wird ein Protokolleintrag angezeigt, URL der die , die Kategorie und die URL ausgeführte Aktion anzeigt. 
Benutzeriertes Bild

Da die Blockaktion für die URL Filterung im ID Inhaltsmodul erfolgte, firewall wurde die Sitzung perspektivisch TCP ohne Block des firewall Moduls durchgeführt. Das firewall Modul wird diese Sitzung wie erlaubt anzeigen. Der Verkehr ist weiterhin aufgrund von ID Inhalts-Engine-Blockierung blockiert. Das Ergebnis dieses Verhaltens   sind zwei separate Protokolleinträge für eine einzelne Sitzung.

Da das ID Inhaltsmodul die Sitzung vor dem Timeout der Sitzung blockiert hat, zeigt der URL Blockaktionsprotokolleintrag eine Empfangszeit vor dem firewall Protokolleintrag mit der Aktion "Zulassen" an. 
Benutzeriertes Bild

Ein wichtiger Hinweis ist, dass nicht alle Sitzungen, die den Endgrund der "Bedrohung" anzeigen, in den Bedrohungsprotokollen protokolliert werden. 

Als Referenz werden die folgenden konfigurierbaren Profile Einträge in den folgenden Protokollen enthalten.

Überwachen > Protokolle:
  • Bedrohung: Virenschutz, Anti-Spyware, Schutz vor Sicherheitsanfälligkeiten, DoS-Schutz
  • URL Filtern: URL Filterprofil
  • Datenfilterung: Dateiblockierung, Datenfilterung


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLSsCAO&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language