Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
URL Bloque de filtrado que muestra la razón final de la amenaza - Knowledge Base - Palo Alto Networks

URL Bloque de filtrado que muestra la razón final de la amenaza

50905
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:35 PM


Symptom


El tráfico del explorador web para la misma sesión bloqueada por el URL perfil de filtrado muestra dos entradas de registro independientes. Uno que muestra una acción de "permitir" y el otro que muestra "block-url". Aunque el tráfico fue bloqueado, no hay entrada para esto dentro de los registros de amenazas. 
Imagen de usuario añadido
Imagen de usuario añadido

La sesión ID para esto es 73419. Al buscar esta sesión ID en los registros de amenazas, no hay entradas.
Imagen de usuario añadido


Cause


Después de la creación de la sesión, el firewall realizará "Configuración de inspección de contenido." El URL motor de filtrado determinará el y tomará las medidas URL apropiadas. 

En este artículo se explica URL la prioridad de filtrado: https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC


Resolution


Para este tráfico, la categoría "direcciones IP privadas" se fija para bloquear. Una vez que el firewall determina URL que está golpeando un conjunto de categorías para bloquear, el firewall inyectará una página web de bloque. Habrá una entrada de registro en los URL registros de filtrado que muestra el , la categoría y la acción URL realizada. 
Imagen de usuario añadido

Como la acción de bloque para el URL filtrado se produjo en el motor de ID contenido, desde la firewall perspectiva, la sesión se TCP controló sin ningún bloque del firewall motor. El firewall motor verá esta sesión según lo permitido. El tráfico sigue bloqueado debido al ID bloqueo del motor de contenido. El resultado de este comportamiento   serán dos entradas de registro independientes para una sola sesión.

A medida que el motor de contenido ID bloqueó la sesión antes de que se agote el tiempo de espera de la sesión, la entrada de registro de acción de bloque URL mostrará un tiempo de recepción anterior a la entrada de registro con la acción firewall "permitir". 
Imagen de usuario añadido

Una nota importante es que no todas las sesiones que muestren la razón final de "amenaza" se registrarán en los registros de amenazas. 

Como referencia, los siguientes perfiles configurables tendrán entradas en los siguientes registros.

Supervisar registros de >:
  • Amenaza: Antivirus, Anti-Spyware, Protección contra vulnerabilidades, Protección contra doS
  • URL Filtrado: URL Perfil de filtrado
  • Filtrado de datos: bloqueo de archivos, filtrado de datos


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLSsCAO&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language