Comment Palo Alto Networks gère-t-il HTTP l’extension de gamme ?
Question
Comment Palo Alto Networks gère-t-il HTTP l’option Range ?
Environment
- PAN-OS 7.1 et au-dessus
- Palo Alto Networks firewall
Answer
Les descriptions suivantes sont la façon dont Palo Alto Networks gère les HTTP extensions de plage.
Quelle est HTTP l’option de plage?
HTTP option de plage dans HTTP l’en-tête est un moyen pour les machines clientes de demander un téléchargement partiel de fichiers à partir des serveurs que pour des plages spécifiées d’octets. C’est l’option utilisée par les ordinateurs lorsque vous reprenez un téléchargement qui avait été interrompu.
Cette option est également utilisée lorsqu’un téléchargement partiel d’un fichier exe à partir d’un site Web est effectué et lorsque le fichier est exécuté.Le serveur est contacté pour déployer l’exécutable. Dans ce cas, le client peut avoir besoin d’une réponse partielle à GET la demande envoyée. Dans ce cas, cette option est utilisée.
Dans certains cas, le client peut mettre en cache une partie du fichier et la demande pour le reste du fichier à l’aide de HTTP l’en-tête Accept-Ranges.
Reportez-vous RFC aux demandes http (article 14.35.2) : https://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.35
pourquoi etquand est-ce pertinent?
Cela est pertinent lorsque des problèmes de dépannage où une sécurité ouverte policy permet le trafic Web où un certain site web est demandé pour des plages partielles à travers un Palo Alto Networks firewall .
Les réseaux Palo Alto firewall traite cette demande de deux façons:
1) Permettre aux clients d’envoyer des paquets avec cette optionactivée: ( Device>Setup> Content- ID > Autoriser HTTP l’option de gamme Header)
2) Permettant les téléchargements lorsque l’option de plage est vu dans un flux et le HTTP est incapable de les HTTP firewall gérer.
Par exemple, le navigateur téléchargeait un fichier ZIP partiel. Vous pouvez voir un fichier partiel dans le dossier Téléchargements. Lorsqu’il a repris, il n’a demandé qu’un fichier partiel manquant. Le firewall n’est pas en mesure de gérer cela.
Pour résoudre ce problème, utilisez la commande suivante :
définissez le réglage de l’appareilconfig ctd skip-block-http-range no => In PAN-OS 7.1
set deviceconfig setting ctd allow-http-range yes => In PAN-OS 8.1 and above.
Symptôme observé
Lorsque le firewall client n’est pas en mesure de traiter de telles demandes, vous verrez sur les pare-feu du client qu’il n’y aura pas de compteurs de chute ou de paquets. Toutefois, lors de l’utilisation de profils en policy sécurité, les sessions de téléchargement de fichiers seront suspendus après avoir partiellement téléchargé les fichiers et les téléchargements de fichiers ne seront jamais complets.
Lorsque des paquets contenant cette option sont vus, les compteurs mondiaux indiquent un compteur « HTTP plage détectée » (pas le nom réel du compteur, mais il contient effectivement le nom http_range).
Dans ce cas, utilisez la solution de contournement suggérée à l’aide de la commande suivante :
définir le réglage de l’appareilconfig ctd skip-block-http-range no => In PAN-OS 7.1
set deviceconfig setting ctd allow-http-range yes => In PAN-OS 8.1 and above.
Remarque : L’opération Commit est nécessaire après la configuration de l’option HTTP de plage.