URL Bloque de filtrado que muestra la razón final de la amenaza
50905
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:35 PM
Symptom
El tráfico del explorador web para la misma sesión bloqueada por el URL perfil de filtrado muestra dos entradas de registro independientes. Uno que muestra una acción de "permitir" y el otro que muestra "block-url". Aunque el tráfico fue bloqueado, no hay entrada para esto dentro de los registros de amenazas.
La sesión ID para esto es 73419. Al buscar esta sesión ID en los registros de amenazas, no hay entradas.
Cause
Después de la creación de la sesión, el firewall realizará "Configuración de inspección de contenido." El URL motor de filtrado determinará el y tomará las medidas URL apropiadas.
En este artículo se explica URL la prioridad de filtrado: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC
Resolution
Para este tráfico, la categoría "direcciones IP privadas" se fija para bloquear. Una vez que el firewall determina URL que está golpeando un conjunto de categorías para bloquear, el firewall inyectará una página web de bloque. Habrá una entrada de registro en los URL registros de filtrado que muestra el , la categoría y la acción URL realizada.
Como la acción de bloque para el URL filtrado se produjo en el motor de ID contenido, desde la firewall perspectiva, la sesión se TCP controló sin ningún bloque del firewall motor. El firewall motor verá esta sesión según lo permitido. El tráfico sigue bloqueado debido al ID bloqueo del motor de contenido. El resultado de este comportamiento serán dos entradas de registro independientes para una sola sesión.
A medida que el motor de contenido ID bloqueó la sesión antes de que se agote el tiempo de espera de la sesión, la entrada de registro de acción de bloque URL mostrará un tiempo de recepción anterior a la entrada de registro con la acción firewall "permitir".
Una nota importante es que no todas las sesiones que muestren la razón final de "amenaza" se registrarán en los registros de amenazas.
Como referencia, los siguientes perfiles configurables tendrán entradas en los siguientes registros.
Supervisar registros de >:
- Amenaza: Antivirus, Anti-Spyware, Protección contra vulnerabilidades, Protección contra doS
- URL Filtrado: URL Perfil de filtrado
- Filtrado de datos: bloqueo de archivos, filtrado de datos