URL Comportamiento de búsqueda para PAN-OS versiones

URL Comportamiento de búsqueda para PAN-OS versiones

34015
Created On 04/21/20 08:03 AM - Last Modified 11/16/24 21:46 PM


Symptom


En este artículo se describen las condiciones para las que URL se realiza la búsqueda. Cuando los paquetes pueden caerse y cuando una sesión puede ser dejado pasar incluso si el PAN-DB servidor no es accesible.

    Environment


     

      Cause


      URL Comportamiento de búsqueda en PAN-OS 8.1

       


      ¿Cuándo se realiza una URL búsqueda en la PAN-DB nube?

      1. A licencia de filtrado no caducada válida PAN-DB URL se ha instalado en el dispositivo
      2. Si el tráfico es HTTP /HTTPS
      3. Si URL el no existe en la DP memoria caché o MP
      4. Si un mínimo de una seguridad policy para los vsys a los que pertenece este tráfico tiene una URL categoría o perfil de seguridad URL configurado
      Si un habilitado policy tiene configuración de filtrado o URL URL policy seguridad, la búsqueda se URL habilitará. Esto también se puede confirmar en la información de la sesión: URL filtrado habilitado : True

       

      Durante o después URL de la búsqueda, ¿cuándo se quitan los paquetes y/o se deniegan las sesiones?

      1. Cuando URL la información está en DP caché, la categoría y la acción de la sesión se procesarán durante la GET solicitud
      2. Cuando URL la información no está en DP caché, si se permite el tráfico en función de parámetros distintos del URL , la solicitud de cliente pasará cuando GET estemos esperando la información de la memoria URL caché o la MP nube
      3.  
      4. Si no podemos aprender o estamos pendientes de los resultados de las URL categorías:
        • Los paquetes después de la primera GET petición (principalmente el paquete de respuesta del servidor) se caerán con 'url_request_pkt_drop' siempre y cuando haya al menos una seguridad policy en el vsys que tenga URL una categoría asociada o un perfil de seguridad URL configurado. Una vez conocida la URL categoría, vamos al paso 3 y hacemos una policy reevaluación.
        • Si la nube PAN-DB es completamente inaccesible y la URL entrada no está presente en las MP DP URL cachés y, a continuación, la operación de solicitud se agote el URL tiempo de espera después de 5 segundos y la URL categoría se establecerá en 'PAN_URL_CATEGORY_NOT_RESOLVED'. A continuación, hacemos otra reevaluación de seguridad policy con la categoría establecida en URL "PAN_URL_CATEGORY_NOT_RESOLVED".

       

      URL Comportamiento de búsqueda en PAN-OS 9.0


      El comportamiento es idéntico a PAN-OS 8.1, excepto los siguientes cambios:
      1. A nueva característica en la que si la "Solicitud de cliente de retención para la búsqueda de categorías" está habilitada, entonces no enviaremos la solicitud del cliente hasta que GET se haya completado la búsqueda de URL categorización
        • Esto se puede configurar en 9.0 vía CLI la configuración set deviceconfig ctd hold-client-request <yes o=""> </yes>
        • A partir de la 9.1, el cliente puede configurar 'hold-client-request' en UI

       

      URL Comportamiento de búsqueda en PAN-OS 9.1


      El comportamiento es idéntico a PAN-OS 9.0, excepto los siguientes cambios:
      1. El tiempo que esperaremos a que se complete la URL operación de solicitud ahora es de 2 segundos en lugar de 5 segundos
      2. La "Solicitud de cliente de retención para la búsqueda de categorías" se puede configurar mediante GUI la configuración de > dispositivo > content-ID
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPjOCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language