Después de actualizar a PAN-OS 9.0, el tráfico de direcciones URL invalidadas coincide con la categoría personalizada incorrecta URL
40403
Created On 03/21/19 23:23 PM - Last Modified 08/27/21 23:27 PM
Symptom
- Recientemente actualizado a PAN-OS 9.0
- El tráfico de direcciones URL invalidadas coincide con la categoría personalizada URL incorrecta; puede hacer que el URL tráfico de la lista de permitidos se bloquee
Environment
- Actualizar a PAN-OS la 9.0
- Panorama
- Firewall
Cause
En PAN-OS 8.x, las URL se pueden configurar en una lista de permitidos y bloqueados para la pestaña de anulación de un perfil de URL filtrado Al actualizar de
PAN-OS 8.x a 9.x, firewall el migra automáticamente la lista de permitidos de anulación y la lista de bloqueo a un conjunto de URL categorías personalizadas, anexando "permitir" y "bloquear" respectivamente
GUI 8.x: Objetos > Perfiles de seguridad > URL Filtrado
GUI9.x: Objetos > objetos personalizados > URL categoría
En 9.x, se ha eliminado la pestaña de anulación
Después de actualizar a PAN-OS 9.0, el tráfico de direcciones URL invalidadas coincide con la categoría personalizada incorrecta URL que hace que el tráfico de la lista de URL permitidos se bloquee
Resolution
Este es un cambio de diseño a partir de PAN-OS 9.0.
En PAN-OS la 9.0, durante la migración, la lista de permitidos/lista de bloqueados se cambia a una categoría personalizada URL y se pierde la prioridad. Esto hará que el firewall desencadene la acción más grave, que en algunos casos es un bloqueo que hace que el tráfico se bloquee.
Para lograr un resultado similar al 8.x, se debe agregar una seguridad adicional policy con la nueva categoría con la acción como permitir. Esta seguridad policy debe estar antes de la corriente que está policy bloqueando el tráfico. Si adjunta un URL perfil a este policy "nuevo", asegúrese de establecer la acción en "URL bloqueadas" en ninguno.
Refiera a URL filtrar categorías de encargo en las consideraciones del Downgrade dela actualización.
Additional Information
En 8.x, la lista de permitidos/bloques de la pestaña de anulación tiene prioridad sobre la categoría personalizada URL- ordinaria.
Por ejemplo, agregue "paloaltonetworks.com/security-for" en la lista de permitidos y agregue "paloaltonetworks.com" en una categoría custom-url bloqueada de perfil. El tráfico sólo se permitirá a la URL paloaltonetworks.com/security-for
Para lograr resultados similares en 9.0, una seguridad adicional policy (por ejemplo, new- policy ) con la categoría "URL permitidas" y la acción según lo permita antes de la activa policy actual. Al adjuntar un URL- perfil a este "new- policy ", asegúrese de establecer la acción de "URL bloqueadas" en ninguna.