升级到 PAN-OS 9.0后,来自覆盖网址的流量与错误的自定义 URL 类别匹配
40363
Created On 03/21/19 23:23 PM - Last Modified 08/27/21 23:27 PM
Symptom
- 最近升级到 PAN-OS 9.0
- 来自覆盖网址的流量与错误的自定义类别匹配 URL ;可能导致 URL 允许列表中的流量被阻止
Environment
- 升级到 PAN-OS 9.0
- Panorama
- Firewall
Cause
在 PAN-OS 8.x 中,网址可配置为过滤配置文件覆盖选项卡的允许和阻止列表 URL
,从 PAN-OS 8.x 升级到 9.x 后, firewall 自动将覆盖允许列表和块列表迁移到一组自定义 URL 类别, 分别附加"允许"和"阻止"
GUI 8.x:对象>安全配置文件> URL 过滤
GUI9.x:对象>自定义对象> URL 类别
在 9.x 中,已删除覆盖选项卡
升级到 PAN-OS 9.0 后,来自覆盖网址的流量与错误的自定义 URL 类别匹配,导致 URL 允许列表中的流量被阻止
Resolution
这是从 PAN-OS 9.0 开始的设计更改。
在 PAN-OS 9.0 中,在迁移期间,允许列表/阻止列表更改为自定义 URL 类别,并丢失优先级。 这将导致 firewall 触发最严重的行动,在某些情况下,这是阻止导致交通被封锁。
要实现与 8.x 类似的结果, policy 必须在 允许的操作中添加带有新类别的额外安全性。 此安全性 policy 需要在 policy 阻止流量的电流之前。 如果将 URL 配置文件附加到此"新 policy ",请确保将"已阻止的 URL"上的操作设置为 "未" 。
请参阅 URL 升级降级考虑中的过滤自定义类别。
Additional Information
在 8.x 中,覆盖选项卡的允许列表/区块列表优先于普通自定义 URL- 类别。
例如,在允许列表中添加"paloaltonetworks.com/security-for",并在已阻止的自定义 url 类别中添加"paloaltonetworks.com"。 流量将只允许到 paloaltonetworks.com/security-for URL
要达到类似的结果在9.0,一个额外的安全 policy (如新 policy -)与类别"允许的网址"和行动 允许 之前,当前活动 policy 。 将 URL- 个人资料附加到此"新"时 policy ,请确保将"已阻止的网址"的操作设置为 "已阻止的网址"。