パロアルトネットワークスは HTTP 範囲拡張をどのように扱うのですか?
Question
パロアルトネットワークはどのようにレンジオプションを扱 HTTP うのですか?
Environment
- PAN-OS 7.1以上
- パロ ・ アルトのネットワーク firewall
Answer
パロアルトネットワークスが範囲拡張を処理する方法を次に説明 HTTP します。
ヘッダーの HTTP range オプションは、
HTTP HTTP 指定されたバイト範囲に対してのみ、クライアント マシンがサーバーからのファイルの部分的なダウンロードを要求する方法です。 これは、一時停止していたダウンロードを再開するときにコンピュータで使用されるオプションです。
このオプションは、Web サイトから exe ファイルを部分的にダウンロードした場合や、ファイルが実行される場合にも使用されます。サーバーにアクセスして実行可能ファイルを展開します。 この場合、クライアントは送信される要求に対する部分的な応答を必要 GET とします。 その場合は、このオプションが使用されます。
場合によっては、クライアントがファイルの一部をキャッシュし、残りのファイルに対する要求を Accept-Ranges ヘッダーを使用してキャッシュする場合 HTTP があります。
RFChttp リクエスト(セクション 14.35.2) の
https://www.w3.org/Protocols/rfc2616/rfc2616-sec14.html#sec14.35、これはなぜ、いつ関連しますか?
これは policy 、Palo Alto Networks を介して特定の Web サイトが部分的な範囲に対して要求される Web トラフィックを、オープン エンドのセキュリティで許可している問題のトラブルシューティングに関連 firewall します。
パロアルトネットワークは firewall 、この要求を2つの方法で処理します
:1)このオプションを有効にしてクライアントにパケットを送信することを許可する:(Device>Setup>コンテンツ - ID > HTTP ヘッダー範囲オプション
)2) HTTP 範囲オプションがストリームで見られ HTTP 、 firewall それらを処理できない場合にダウンロードを許可する。
たとえば、ブラウザが部分的なファイルをダウンロードしていたとします ZIP 。 ダウンロード フォルダにファイルの一部が表示されます。 再開時に、欠落している部分ファイルのみが要求されました。 firewallは、この処理を行うことができません。
これを修正するには、次のコマンドを使用します:
デバイス設定設定 ctd スキップブロック- http-範囲 no => PAN-OS 7.1 設定
デバイス設定のデバイス設定 ctd 許可 http 範囲はい PAN-OS => 8.1 以上。
観察された症状
firewallこのような要求を処理できない場合、お客様のファイアウォールにドロップ カウンタやパケットが存在しないことが表示されます。 ただし、セキュリティでプロファイルを使用する場合 policy 、ファイルのダウンロード セッションはファイルを部分的にダウンロードした後にハングし、ファイルのダウンロードは完了しません。
このオプションを含むパケットが見られると、グローバル カウンタはカウンタの " HTTP 範囲が検出されました" を示します(カウンタの実際の名前ではなく、実際にはhttp_rangeという名前が含まれています)。
その場合は、次のコマンドを使用して提案された回避策を使用してください:
デバイス設定設定 ctd スキップブロック- http 範囲 no => PAN-OS 7.1
設定のデバイス構成設定 ctd 許可 http 範囲は yes => PAN-OS 8.1 以上。
メモ: 範囲オプションを設定した後でコミット操作が必要です HTTP 。