Nach dem Upgrade auf PAN-OS 9.0 entspricht der Datenverkehr von überschriebenen URLs der falschen benutzerdefinierten URL Kategorie.
35265
Created On 03/21/19 23:23 PM - Last Modified 08/27/21 23:27 PM
Symptom
- Kürzlich aktualisiert auf PAN-OS 9.0
- Datenverkehr von überschriebenen URLs entspricht der falschen benutzerdefinierten URL Kategorie; kann dazu führen, dass der URL Datenverkehr aus der Zulassungsliste blockiert wird
Environment
- Upgrade auf PAN-OS 9.0
- Panorama
- Firewall
Cause
In PAN-OS 8.x können URLs in einer Zulassungs- und Sperrliste für die Registerkarte "Überschreiben" eines Filterprofils konfiguriert werden URL Beim Upgrade von
PAN-OS 8.x auf 9.x firewall migriert die Überschreibungsliste und die Sperrliste automatisch in eine Reihe von URL benutzerdefinierten Kategorien, wobei "zulassen" bzw. "blockieren"
GUI bzw. 8.x angehängt wird: Objekte > Sicherheitsprofile > URL Filtern
GUI9.x: Objekte > Benutzerdefinierte Objekte > URL Kategorie
In 9.x wurde die Registerkarte "AußerKraftsetzung" entfernt
Nach dem Upgrade auf PAN-OS 9.0 stimmt der Datenverkehr von überschriebenen URLs mit der falschen benutzerdefinierten Kategorie überein, URL wodurch der Datenverkehr aus der URL Zulassungsliste blockiert wird
Resolution
Dies ist eine Designänderung ab PAN-OS 9.0.
In PAN-OS 9.0 wird während der Migration die Zulassungsliste/Sperrliste in eine benutzerdefinierte URL Kategorie geändert, und die Priorität geht verloren. Dies führt firewall dazu, dass die schwerwiegendste Aktion ausgelöst wird, die in einigen Fällen blockiert wird, wodurch der Datenverkehr blockiert wird.
Um ein ähnliches Ergebnis wie 8.x zu erzielen, muss eine zusätzliche Sicherheit policy mit der neuen Kategorie mit der Aktion als allowhinzugefügt werden. Diese Sicherheit policy muss vor dem Strom policy sein, der den Datenverkehr blockiert. Wenn Sie ein URL Profil an dieses "neue" policy anhängen, stellen Sie sicher, dass die Aktion für "blockierte URLs" auf keine gesetzt ist.
Weitere Informationen finden Sie unter URL Filtern benutzerdefinierter Kategorien unter Überlegungen zum Upgrade-Downgrade.
Additional Information
In 8.x hat die Allow-List/Block-Liste der Überschreibungsregisterkarte Vorrang vor der normalen benutzerdefinierten URL- Kategorie.
Fügen Sie beispielsweise "paloaltonetworks.com/security-for" in der Zulassungsliste hinzu, und fügen Sie "paloaltonetworks.com" in einem profilblockierten benutzerdefinierten url-kategorie hinzu. Der Datenverkehr wird nur an die URL paloaltonetworks.com/security-for Um ähnliche Ergebnisse in 9.0 zu
erzielen, eine zusätzliche Sicherheit policy (z.B. neu- policy ) mit Kategorie "zulässige URLs" und Aktion wie vor dem aktuellen aktiven erlaubt. policy Wenn Sie ein Profil an dieses "new- " anfügen, URL- policy stellen Sie sicher, dass die Aktion von "blockierten URLs" auf keine gesetzt wird.