Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
URL 过滤块显示威胁的最终原因 - Knowledge Base - Palo Alto Networks

URL 过滤块显示威胁的最终原因

50911
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:36 PM


Symptom


被筛选配置文件阻止的同一会话的 Web 浏览器流量 URL 显示两个单独的日志条目。 一个显示"允许"操作,另一个显示"块-url"。 虽然流量被阻止,但威胁日志内没有此条目。 
用户添加的图像
用户添加的图像

ID会话为 73419。 在威胁日志中搜索此会话时 ID ,没有条目。
用户添加的图像


Cause


会话创建后, firewall 将执行"内容检查设置"。 URL过滤发动机将确定 URL 并采取适当行动。 

本文解释了 URL 过滤优先级:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC


Resolution


对于此流量,"私有 ip 地址"类别设置为阻止。 一旦 firewall 确定 URL 正在击中一个类别设置为阻止, firewall 将注入一个块网页。 过滤日志中将有一个日志条目 URL ,显示所 URL 采取的操作、类别和操作。 
用户添加的图像

当过滤的块操作 URL 发生在内容 ID -引擎中时,从 firewall 角度讲, TCP 会话的处理与发动机没有任何块 firewall 。 firewall发动机将视此会话为允许。 由于内容 ID 引擎阻塞,流量仍然受阻。 此行为的结果   将是单个会话的两个单独的日志条目。

由于内容 ID -引擎在会话超时之前阻止了会话,因此块 URL 操作日志条目将显示 firewall 比日志条目更早的接收时间,并带有"允许"操作。 
用户添加的图像

一个重要的注意事项是,并非所有显示"威胁"最终原因的会话都会记录在威胁日志中。 

作为参考,以下可配置配置文件将在以下日志中具有条目。

监视器>日志:
  • 威胁:防病毒、防间谍软件、漏洞保护、DoS 保护
  • URL 过滤: URL 过滤配置文件
  • 数据筛选:文件拦截、数据过滤


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLSsCAO&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language