¿Cómo maneja Palo Alto Networks la HTTP extensión de rango?

• PAN-OS 7.1 y superior
• Palo Alto Networks firewall

Las siguientes descripciones son cómo Palo Alto Networks maneja las HTTP extensiones de rango.

¿Cuál es la HTTP opción de rango?
HTTP la opción de intervalo en el HTTP encabezado es una forma para que los equipos cliente soliciten una descarga parcial de archivos de los servidores solo para los intervalos especificados de bytes. Esta es la opción utilizada por los equipos al reanudar una descarga que se había detenido.

Esta opción también se utiliza cuando se realiza una descarga parcial de un archivo exe desde un sitio web y cuando se ejecuta el archivo.Se contacta con el servidor para implementar el ejecutable. En este caso, es posible que el cliente necesite una respuesta parcial a la GET solicitud que se envía. En ese caso, se utiliza esta opción.

En algunos casos, el cliente puede almacenar en caché parte del archivo y la solicitud del resto del archivo mediante el HTTP encabezado Accept-Ranges.
Refiera a las RFC peticiones http for(Sección 14.35.2): https://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.35


¿Por qué y cuándo es esto relevante?
Esto es relevante cuando se solucionan problemas en los que una seguridad abierta policy permite el tráfico web donde se solicita un determinado sitio web para intervalos parciales a través de palo alto firewall networks.

Palo Alto Networks firewall maneja esta solicitud de dos maneras:
1) Permitir que los clientes envíen paquetes con esta opción habilitada: (Device>Setup> Content- ID > Allow Header range HTTP option)
2) Permitir descargas cuando la HTTP opción de rango se ve en una secuencia y la no puede HTTP firewall manejarlas.

Por ejemplo, el explorador estaba descargando un ZIP archivo parcial. Puede ver un archivo parcial en la carpeta Descargas. Cuando se reanudó, solo solicitó un archivo parcial que faltaba. El firewall es incapaz de manejar esto.

Para solucionar esto, utilice el siguiente comando:

establezca la configuración deviceconfig ctd skip-block-http-range no => En PAN-OS 7.1
establezca la configuración deviceconfig ctd allow-http-range yes => En PAN-OS 8.1 y versiones posteriores.


Síntoma observado
Cuando el firewall no puede manejar este tipo de solicitudes, verá en los firewalls del cliente que no habrá ningún contador de caída o paquetes. Sin embargo, cuando se utilizan perfiles en policy seguridad, las sesiones de descarga de archivos se bloquearán después de descargar parcialmente los archivos y las descargas de archivos nunca se completarán.

Cuando se ven los paquetes que contienen esta opción, los contadores globales indicarán un contador HTTP "rango detectado" (no el nombre real del contador pero realmente contiene el nombre http_range).

En ese caso, utilice la solución alternativa sugerida mediante el siguiente comando:

establezca deviceconfig setting ctd skip-block-http-range no => En PAN-OS 7.1
set deviceconfig setting ctd allow-http-range yes => In PAN-OS 8.1 y versiones posteriores.

Nota:La operación de confirmación es necesaria después de establecer la opción HTTP de rango.