URL 查找 PAN-OS 发布行为

URL 查找 PAN-OS 发布行为

34034
Created On 04/21/20 08:03 AM - Last Modified 11/16/24 21:46 PM


Symptom


本文描述了 URL 查找的完成条件。 数据包何时可能被丢弃,以及即使 PAN-DB 无法联系到服务器,也会让会话通过。

    Environment


     

      Cause


      URL PAN-OS查找 8.1 中的行为

       


      何时 URL 完成对云的查找 PAN-DB ?

      1. A PAN-DB URL设备上已安装有效的未过期过滤许可证
      2. 如果流量是 HTTP /HTTPS
      3. 如果 URL 不存在于 DP 或 MP 缓存中
      4. 如果此流量所属的 vsys 的至少一个安全配置 policy 有 URL 一个类别或 URL 安全配置文件
      如果启用 policy 了 URL 过滤或 URL 安全 policy 配置,则 URL 将启用查找。 这也可以在会话信息中确认: URL 启用过滤:真实

       

      在查找期间或后 URL 查找期间,数据包何时被丢弃和/或会话被拒绝?

      1. 当 URL 信息处于 DP 缓存中时,将在请求期间处理会话的类别和操作 GET
      2. 当 URL 信息不在 DP 缓存中时,如果根据除该参数以外的参数允许流量 URL , GET 则客户端请求将在我们等待 URL 缓 MP 存或云中的信息时通过
      3.  
      4. 如果我们无法学习或我们等待 URL 该类别的结果( s):
        • 第一个 GET 请求(主要是服务器响应数据包)之后的数据包将随"url_request_pkt_drop"一起丢弃 policy ,只要在具有关联 URL 类别或安全配置文件的 vsys 中至少有一个 URL 安全性。 一旦 URL 该类别被知道,我们去步骤3,并做一个 policy 重新评估。
        • 如果云 PAN-DB 完全无法访问, URL 并且入口不在 MP 缓 DP URL 存中,则 URL 请求操作将在 5 秒后停止, URL 并且该类别将设置为"PAN_URL_CATEGORY_NOT_RESOLVED"。 然后,我们进行另一个安全 policy 重新评估, URL 该类别设置为"PAN_URL_CATEGORY_NOT_RESOLVED"。

       

      URL PAN-OS查找行为在9.0


      行为与 PAN-OS 8.1 相同,但以下更改除外:
      1. A 新功能,其中,如果启用了"保持客户端请求类别查找",那么在 GET 分类查找完成之前,我们不会发送客户端 URL 请求
        • 这是可配置在9.0 CLI 通过设置设备配置设置ctd持有客户端请求 <yes o=""> </yes>
        • 从 9.1 开始,客户可以在 UI

       

      URL PAN-OS查找9.1中的行为


      行为与 PAN-OS 9.0 相同,但以下更改除外:
      1. 我们将等待 URL 请求操作完成的时间现在默认为2秒而不是5秒
      2. "保留客户端请求类别查找"可通过 GUI 设备 > 设置 > 内容进行配置-ID
      Other users also viewed:
      Actions
      • Print
      • Copy Link

        https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PPjOCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

      Choose Language