URL 过滤块显示威胁的最终原因
50911
Created On 04/08/19 21:49 PM - Last Modified 03/26/21 17:36 PM
Symptom
被筛选配置文件阻止的同一会话的 Web 浏览器流量 URL 显示两个单独的日志条目。 一个显示"允许"操作,另一个显示"块-url"。 虽然流量被阻止,但威胁日志内没有此条目。
ID会话为 73419。 在威胁日志中搜索此会话时 ID ,没有条目。
Cause
会话创建后, firewall 将执行"内容检查设置"。 URL过滤发动机将确定 URL 并采取适当行动。
本文解释了 URL 过滤优先级:https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsmCAC
Resolution
对于此流量,"私有 ip 地址"类别设置为阻止。 一旦 firewall 确定 URL 正在击中一个类别设置为阻止, firewall 将注入一个块网页。 过滤日志中将有一个日志条目 URL ,显示所 URL 采取的操作、类别和操作。
当过滤的块操作 URL 发生在内容 ID -引擎中时,从 firewall 角度讲, TCP 会话的处理与发动机没有任何块 firewall 。 firewall发动机将视此会话为允许。 由于内容 ID 引擎阻塞,流量仍然受阻。 此行为的结果 将是单个会话的两个单独的日志条目。
由于内容 ID -引擎在会话超时之前阻止了会话,因此块 URL 操作日志条目将显示 firewall 比日志条目更早的接收时间,并带有"允许"操作。
一个重要的注意事项是,并非所有显示"威胁"最终原因的会话都会记录在威胁日志中。
作为参考,以下可配置配置文件将在以下日志中具有条目。
监视器>日志:
- 威胁:防病毒、防间谍软件、漏洞保护、DoS 保护
- URL 过滤: URL 过滤配置文件
- 数据筛选:文件拦截、数据过滤