无法在 URL 上播放视频,即使允许通过防火墙访问特定 URL
33671
Created On 02/19/20 19:07 PM - Last Modified 02/17/21 17:43 PM
Symptom
- 当关联的安全策略附加到任何安全配置文件(URL 筛选、AV、反间谍软件等)时,无法访问包含视频的 URL。
- 在 URL 上播放的视频几秒钟,然后经常用白色空白屏幕停止。
- 当关联的安全策略不包含附加到视频的任何安全配置文件时,视频将顺利播放。
- 会话结束原因显示为 来自日志的 TCP-RST- 从客户端
- 数据包捕获显示来自 Web 服务器端的以下响应之一。
Environment
- PAN-OS 8.1 及以上
Cause
- 每当会话流量与附加安全配置文件的安全策略匹配时,防火墙都会执行内容检查。
- 根据在设备 >设置->内容 ID 下称为" 允许 HTTP 部分响应"下的防火墙设置,防火墙允许客户端仅获取文件/响应的一部分。 默认情况下,启用"允许 HTTP 部分响应"。 禁用此选项会导致防火墙使用 RST 数据包终止 TCP 会话。
Resolution
- 在更改之前,请参阅"内容 ID 设置"下的"允许 HTTP部分响应"的文档。
- 启用"允许 HTTP 部分响应"选项,如下所示。
- 导航 到设备>设置->内容 ID->内容 ID 设置
- 单击内容 ID 设置下的齿轮图标
- 单击"允许 HTTP 部分响应"选项的复选框,然后单击"确定 "。
- 提交 变化
Additional Information
注意:
- 请记住,这是一个全局设置,可能会影响通过防火墙的所有流量。
- 禁用此选项可能会影响流媒体服务,如 Netflix、Microsoft 更新和 Palo Alto 网络内容更新。
- 在 PAN-OS 8.1 之前,此选项称为"允许HTTP 标头范围"。