URL Comportement de recherche pour les PAN-OS versions

URL Comportement de recherche pour les PAN-OS versions

34045
Created On 04/21/20 08:03 AM - Last Modified 11/16/24 21:46 PM


Symptom


Cet article décrit les conditions pour lesquelles URL lookup est fait. Lorsque les paquets peuvent être supprimés et quand une session peut être laissé passer même si le PAN-DB serveur n’est pas accessible.

    Environment


     

      Cause


      URL Comportement de rechercher en PAN-OS 8.1

       


      Quand une attention URL au nuage PAN-DB est-elle effectuée ?

      1. A licence de filtrage non PAN-DB URL expirée valide a été installée sur l’appareil
      2. Si le trafic est HTTP /HTTPS
      3. Si le URL n’existe pas dans le DP cache ou MP
      4. Si un minimum d’une policy sécurité pour les vsys auxquels ce trafic appartient a une catégorie URL ou un profil de sécurité URL configuré
      Si un activé policy a une configuration de URL URL policy filtrage ou de sécurité, URL la recherche sera activée. Cela peut également être confirmé dans les informations de session : URL filtrage activé : Vrai

       

      Pendant ou après la URL recherchez, quand les paquets sont-ils abandonnés et/ou les sessions sont-elles refusées ?

      1. Lorsque URL les informations sont en DP cache, la catégorie et l’action de la session seront traitées au cours de la GET demande
      2. Lorsque URL les informations ne sont pas en cache, si le trafic est autorisé en fonction de paramètres autres que le , la demande du client passe lorsque DP nous attendons sur les informations du cache ou du URL GET URL MP cloud
      3.  
      4. Si nous ne sommes pas en mesure d’apprendre ou si nous sommes en attente des résultats URL de la catégorie:.
        • Les paquets après la première GET demande (principalement le paquet de réponse serveur) seront supprimés avec 'url_request_pkt_drop' tant qu’il y a au moins une sécurité policy dans les vsys qui a une catégorie associée ou un profil de sécurité URL URL configuré. Une fois URL que la catégorie est connue, nous passons à l’étape 3 et faisons une policy réévaluation.
        • Si le nuage PAN-DB est complètement inaccessible et que URL l’entrée n’est pas présente dans les MP DP URL caches et les caches, l’opération de demande URL s’exaillera au bout de 5 secondes URL et la catégorie sera définie sur « PAN_URL_CATEGORY_NOT_RESOLVED ». Nous faisons ensuite une autre policy réévaluation de la sécurité avec la catégorie définie comme URL « PAN_URL_CATEGORY_NOT_RESOLVED ».

       

      URL Comportement de rechercher en PAN-OS 9.0


      Le comportement est identique à PAN-OS 8,1 à l’exception des changements suivants :
      1. A nouvelle fonctionnalité dans laquelle si « Hold Client Request for category lookup » est activé, alors nous n’enverrons pas la demande du client jusqu’à ce que la recherche de GET URL catégorisation soit terminée
        • Ceci est configurable en 9.0 via CLI l’ensemble deviceconfig réglage ctd hold-client-request <yes o=""> </yes>
        • À partir de 9.1, le client peut configurer la « demande de hold-client » en UI

       

      URL Comportement de rechercher en PAN-OS 9.1


      Le comportement est identique à PAN-OS 9.0 à l’exception des changements suivants :
      1. Le temps que nous attendrons que URL l’opération de demande se termine maintenant par défaut à 2 secondes au lieu de 5 secondes
      2. La « demande de client de hold pour la recherche de catégorie » est configurable via GUI l'> configuration > contenu-ID
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPjOCAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language