Après la mise PAN-OS à niveau vers 9.0, le trafic des URL remplacées correspond à la mauvaise catégorie URL personnalisée
35269
Created On 03/21/19 23:23 PM - Last Modified 08/27/21 23:27 PM
Symptom
- Récemment mis à niveau PAN-OS vers 9.0
- Le trafic des URL remplacées correspond à la mauvaise catégorie personnalisée; peut faire bloquer URL le trafic à partir de la liste de URL permis.
Environment
- Mise à PAN-OS niveau vers 9.0
- Panorama
- Firewall
Cause
Dans PAN-OS la version 8.x, les URL peuvent être configurées dans une liste verte et une liste de blocage pour l’onglet de remplacement d’un URL profil filtrage Lors de la mise à niveau de la version
PAN-OS 8.x vers la version 9.x, firewall le migre automatiquement la liste verte et la liste de blocage de remplacement vers un ensemble de catégories URL personnalisées, en ajoutant respectivement « autoriser » et « bloquer »
GUI 8.x: Objets > Profils de sécurité > URL Filtrage
GUI9.x: Objets > objets personnalisés > URL catégorie
Dans 9.x, l’onglet de remplacement a été supprimé Après la
mise à niveau vers la version PAN-OS 9.0, le trafic provenant d’URL remplacées correspond à la mauvaise URL catégorie personnalisée, ce qui bloque le trafic de la liste verte, ce qui bloque le URL trafic de la liste verte
Resolution
Il s’agit d’une modification de conception à partir de PAN-OS la 9.0.
Dans PAN-OS la section 9.0, pendant la migration, la liste verte/liste rouge est remplacée par une catégorie personnalisée URL et la priorité est perdue. Cela entraînera le firewall déclenchement de l’action la plus grave, qui dans certains cas est un blocage provoquant le blocage du trafic.
Pour obtenir un résultat similaire à celui de la 8.x, une sécurité supplémentaire policy avec la nouvelle catégorie doit être ajoutée avec l’action autoriser . Cette sécurité policy doit être avant le courant qui bloque le policy trafic. Si vous attachez un URL profil à ce policy « nouveau », assurez-vous de définir l’action sur « URL bloquées » sur aucun.
Référez-vous à URL filtrer des catégories personnalisées dans les considérations de rétrogradation de mise à niveau.
Additional Information
Dans 8.x, la liste d’options/liste de blocs de l’onglet de remplacement prend la priorité sur la catégorie personnalisée URL- ordinaire.
Par exemple, ajoutez « paloaltonetworks.com/security-for » dans la liste de permis et ajoutez « paloaltonetworks.com » dans une catégorie d’url personnalisée bloquée par profil. Le trafic ne sera autorisé à URL l’paloaltonetworks.com/security-for
Pour obtenir des résultats similaires en 9.0, une sécurité supplémentaire policy (par exemple nouveau- policy ) avec la catégorie « URL autorisées » et l’action comme le permettent avant l’actif actuel policy . Lors de URL- l’attachement d’un profil à ce policy « nouveau- « , assurez-vous de définir l’action des « URL bloquées » à aucun.