Wie handhabt Palo Alto Networks die HTTP Reichweitenerweiterung?
Question
Wie handhabt Palo Alto Networks die HTTP Range-Option?
Environment
- PAN-OS 7.1 und höher
- Palo Alto Networks firewall
Answer
Die folgenden Beschreibungen sehen, wie Palo Alto Networks HTTP Bereichserweiterungen verarbeitet.
Was ist die HTTP Bereichsoption?
HTTP Die Bereichsoption im HTTP Header ist eine Möglichkeit für die Clientcomputer, einen teilweisen Download von Dateien von den Servern nur für bestimmte Bytebereiche anzufordern. Dies ist die Option, die von Computern verwendet wird, wenn Sie einen Download fortsetzen, der angehalten wurde.
Diese Option wird auch verwendet, wenn ein teilweiser Download einer exe-Datei von einer Website durchgeführt wird und wenn die Datei ausgeführt wird.Der Server wird kontaktiert, um die ausführbare Datei bereitzustellen. In diesem Fall benötigt der Client möglicherweise eine teilweise Antwort auf die GET gesendete Anforderung. In diesem Fall wird diese Option verwendet.
In einigen Fällen kann der Client einen Teil der Datei und die Anforderung für den Rest der Datei mithilfe des HTTP Accept-Ranges-Headers zwischenspeichern.
Siehe RFC for http requests(Abschnitt 14.35.2): https://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.35
Warum und Wannist dies relevant?
Dies ist relevant, wenn Probleme behoben werden, bei denen eine offene Sicherheit policy Webdatenverkehr zulässt, bei dem eine bestimmte Website für Teilbereiche über ein Palo Alto Networks angefordert firewall wird.
Das Palo Alto Networks firewall verarbeitet diese Anforderung auf zwei Arten:
1) Clients das Senden von Paketen mit aktivierter Option ermöglichen: (Device>Setup> Content- ID > Allow Header Range HTTP Option)
2) Zulassen von Downloads, wenn die HTTP Bereichsoption in einem Stream angezeigt wird HTTP und die nicht in der Lage firewall ist, sie zu verarbeiten.
Beispielsweise hat der Browser eine ZIP Teildatei heruntergeladen. Sie können eine Teildatei im Ordner Downloads sehen. Beim Wiederbeginn wurde nur eine Teildatei angefordert, die fehlte. Der firewall kann dies nicht verarbeiten.
Um dies zu beheben, verwenden Sie den folgenden Befehl:
Setzen Sie deviceconfig einstellung ctd skip-block-http-range no => In PAN-OS 7.1
set deviceconfig setting ctd allow-http-range yes => In PAN-OS 8.1 und höher.
Symptom beobachtet
Wenn der firewall nicht in der Lage ist, solche Anforderungen zu verarbeiten, werden Sie auf den Firewalls des Kunden sehen, dass es keine Drop-Counter oder Pakete gibt. Wenn Sie jedoch Profile in der Sicherheit policy verwenden, hängen die Dateidownloadsitzungen nach dem teilweisen Herunterladen der Dateien ab, und die Dateidownloads werden nie abgeschlossen.
Wenn Pakete mit dieser Option angezeigt werden, zeigen globale Leistungsindikatoren einen Zähler HTTP "Bereich erkannt" an (nicht den tatsächlichen Namen des Leistungsindikators, aber er enthält tatsächlich den Namen http_range).
In diesem Fall verwenden Sie die vorgeschlagene Problemumgehung mit dem folgenden Befehl:
Set deviceconfig setting ctd skip-block-http-range no => In PAN-OS 7.1
set deviceconfig setting ctd allow-http-range yes => In PAN-OS 8.1 und höher.
Hinweis:Nach dem Festlegen der Bereichsoption ist ein Commit-Vorgang HTTP erforderlich.