La colonne d’action du journal des menaces affiche le « serveur de réinitialisation

La colonne d’action du journal des menaces affiche le « serveur de réinitialisation » au lieu de « réinitialiser les deux »

57429

Created On 01/07/21 02:24 AM - Last Modified 04/01/24 07:37 AM

Question

Le client utilise « réinitialiser les deux » pour l’action par défaut du décodeur http du profil AntiVirus.
Lorsque le firewall malware détecte le malware envoyé en session par signature HTTP AntiVirus, la page de notification de bloc est affichée du côté du NOT navigateur, la TCP réinitialisation n’est envoyée qu’au côté serveur Web et la colonne d’action du journal des menaces affiche « réinitialiser le serveur » au lieu de « réinitialiser les deux ». Habituellement, lorsque le firewall détecte le malware envoyé en session par signature HTTP AntiVirus avec l’action par défaut du décodeur http du profil AntiVirus « réinitialiser les deux », la page de notification de bloc est envoyé au navigateur à partir de la , il est affiché sur le navigateur, la firewall session est HTTP réinitialisée sur le serveur Web / côté navigateur et la colonne d’action threat log montre « réinitialiser les deux ».
Pourquoi la colonne d’action de Threat log affiche-t-elle « réinitialiser le serveur » au lieu de « réinitialiser les deux » alors que le client utilise « réinitialiser les deux » pour l’action par défaut du décodeur http du profil AntiVirus ?

Le malware est envoyé à partir de HTTP la session.
PANOS 8.1
PANOS 9.0
PANOS 9,1
PANOS 10,0
Le client utilise « réinitialiser les deux » pour l’action par défaut du décodeur http du profil AntiVirus.

Afin d’insérer la page de notification de bloc dans HTTP la session où le malware est livré, firewall les besoins de trouver le malware dans le premier paquet de la HTTP réponse. Donc, si le firewall détecte la menace pas dans le premier paquet de la réponse, dans ce cas, les HTTP en-têtes est déjà transmis au navigateur à partir de la firewall et le ne peut pas envoyer la page de notification de firewall bloc, la seule action prise est l’envoi de réinitialisation à la fois.Ce résultat est comme prévu. Si le firewall détecte le malware au début du premier paquet de la réponse, de sorte que le firewall est en mesure d’envoyer la page de notification au navigateur.
Veuillez noter que ce résultat est spécifique lorsque le malware n’est pas détecté dans le premier paquet de la HTTP réponse.
Si vous avez besoin d’une description détaillée pour « Actions dans les profils de sécurité », vous pouvez le URL trouver à partir du https://docs.paloaltonetworks.com/ pan-os /10-0/ pan-os -web-interface-help/objects/objects-security-profiles/actions-in-security-profiles.html