特定の URL がファイアウォールを通じて許可されている場合でも、URL でビデオを再生できない
33673
Created On 02/19/20 19:07 PM - Last Modified 02/17/21 17:43 PM
Symptom
- 関連付けられたセキュリティ ポリシーがセキュリティ プロファイル(URL フィルタリング、AV、スパイウェア対策など)にアタッチされている場合、ビデオを含む URL にアクセスできません。
- URL上のビデオは数秒間再生され、白い空白の画面で頻繁に停止します。
- 関連付けられたセキュリティ ポリシーにセキュリティ プロファイルが添付されていない場合、ビデオは問題なく正常に再生されます。
- セッション終了理由が TCP-RST-from クライアントとしてログから表示される
- パケットキャプチャは、ウェブサーバ側から以下の応答のいずれかを明らかにする。
Environment
- PAN-OS 8.1以上
Cause
- セッション トラフィックがセキュリティ プロファイルがアタッチされているセキュリティ ポリシーと一致すると、ファイアウォールによってコンテンツインスペクションが実行されます。
- デバイス>セットアップ->コンテンツ IDの下のファイアウォールの設定に従って、「HTTP 部分応答を許可する」と呼ばれる、ファイアウォールは、クライアントがファイル/応答の一部のみをフェッチすることを許可します。 既定では、HTTP 部分応答を許可するが有効になっています。 このオプションを無効にすると、ファイアウォールは RST パケットを使用して TCP セッションを終了します。
Resolution
- 変更する前に、「コンテンツ ID設定」の「HTTP 部分応答を許可する」のドキュメントを参照してください。
- 以下の手順に従って、[HTTP部分応答を許可する]オプションを有効にします。
- デバイス>セットアップ->コンテンツ-ID->-ID 設定に移動します。
- コンテンツ ID 設定の下にある歯車アイコンをクリックします。
- [HTTP 部分応答を許可する] オプションのチェック ボックスをクリックし、[OK]をクリックします。
- コミット 変更
Additional Information
注:
- これはグローバルな設定であり、ファイアウォールを通過するすべてのトラフィックに影響を与える可能性があることを覚えておいてください。
- このオプションを無効にすると、Netflix、Microsoft アップデート、パロアルトネットワークスのコンテンツアップデートなどのストリーミングメディアサービスに影響を与える可能性があります。
- PAN-OS 8.1 より前のバージョンでは、このオプションは HTTP ヘッダー範囲の許可 と呼ばれます。