Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
URL Bloc filtrant affichant la raison de fin de la menace - Knowledge Base - Palo Alto Networks

URL Bloc filtrant affichant la raison de fin de la menace

50903
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:36 PM


Symptom


Le trafic du navigateur Web pour la même session bloqué par le profil de URL filtrage affiche deux entrées de journal distinctes. L’un montrant une action « autoriser » et l’autre montrant « bloc-url ». Bien que la circulation ait été bloquée, il n’y a pas d’entrée pour cela à l’intérieur des journaux de menace. 
Image ajoutée par l'utilisateur
Image ajoutée par l'utilisateur

Session ID pour cela est 73419. Lors de la recherche de cette session ID dans les journaux de menaces, il n’y a pas d’entrées.
Image ajoutée par l'utilisateur


Cause


Après la création de la session, firewall le sera effectuer « Configuration d’inspection de contenu. » Le URL moteur filtrant déterminera et URL prendra les mesures appropriées. 

Cet article explique la URL priorité de filtrage : https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC


Resolution


Pour ce trafic, la catégorie « adresses ip privées » est définie pour bloquer. Une fois firewall que le détermine le frappe une catégorie définie pour URL bloquer, le va firewall injecter une page Web bloc. Il y aura une entrée de journal dans les URL journaux de filtrage montrant URL le , la catégorie, et les mesures prises. 
Image ajoutée par l'utilisateur

Comme l’action de bloc pour URL le filtrage s’est produite dans le moteur de ID firewall contenu, du point de TCP vue, la session a été traitée sans aucun bloc du firewall moteur. Le firewall moteur affichera cette session comme permis. Le trafic est toujours bloqué en raison du blocage du ID moteur de contenu. Le résultat de ce comportement   sera deux entrées de journal distinctes pour une seule session.

Comme le moteur de ID contenu a bloqué la session avant l’arrêt de la session, l’entrée du journal d’action de bloc affichera un temps de recevoir plus tôt que URL l’entrée du journal avec firewall l’action « autoriser ». 
Image ajoutée par l'utilisateur

Une note importante est que toutes les sessions montrant la raison de fin de la « menace » ne seront pas enregistrées dans les journaux de menaces. 

Pour référence, les profils configurables suivants auront des entrées dans les journaux suivants.

Surveillez > journaux :
  • Menace : Anti-Virus, Anti-Spyware, Vulnerability Protection, DoS Protection
  • URL Filtrage : URL Profil de filtrage
  • Filtrage des données : blocage des fichiers, filtrage des données


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLSsCAO&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language