URL Bloc filtrant affichant la raison de fin de la menace
50903
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:36 PM
Symptom
Le trafic du navigateur Web pour la même session bloqué par le profil de URL filtrage affiche deux entrées de journal distinctes. L’un montrant une action « autoriser » et l’autre montrant « bloc-url ». Bien que la circulation ait été bloquée, il n’y a pas d’entrée pour cela à l’intérieur des journaux de menace.
Session ID pour cela est 73419. Lors de la recherche de cette session ID dans les journaux de menaces, il n’y a pas d’entrées.
Cause
Après la création de la session, firewall le sera effectuer « Configuration d’inspection de contenu. » Le URL moteur filtrant déterminera et URL prendra les mesures appropriées.
Cet article explique la URL priorité de filtrage : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC
Resolution
Pour ce trafic, la catégorie « adresses ip privées » est définie pour bloquer. Une fois firewall que le détermine le frappe une catégorie définie pour URL bloquer, le va firewall injecter une page Web bloc. Il y aura une entrée de journal dans les URL journaux de filtrage montrant URL le , la catégorie, et les mesures prises.
Comme l’action de bloc pour URL le filtrage s’est produite dans le moteur de ID firewall contenu, du point de TCP vue, la session a été traitée sans aucun bloc du firewall moteur. Le firewall moteur affichera cette session comme permis. Le trafic est toujours bloqué en raison du blocage du ID moteur de contenu. Le résultat de ce comportement sera deux entrées de journal distinctes pour une seule session.
Comme le moteur de ID contenu a bloqué la session avant l’arrêt de la session, l’entrée du journal d’action de bloc affichera un temps de recevoir plus tôt que URL l’entrée du journal avec firewall l’action « autoriser ».
Une note importante est que toutes les sessions montrant la raison de fin de la « menace » ne seront pas enregistrées dans les journaux de menaces.
Pour référence, les profils configurables suivants auront des entrées dans les journaux suivants.
Surveillez > journaux :
- Menace : Anti-Virus, Anti-Spyware, Vulnerability Protection, DoS Protection
- URL Filtrage : URL Profil de filtrage
- Filtrage des données : blocage des fichiers, filtrage des données