威胁日志的操作列显示"重置服务器"而不是"重置-两者"
57395
Created On 01/07/21 02:24 AM - Last Modified 04/01/24 07:37 AM
Question
- 客户使用"重置-两者"执行防病毒配置文件的 http 解码器的默认操作。
- 当 firewall 检测 HTTP 到由防病毒签名在会话中发送的恶意软件时, NOT 在浏览器端显示块通知页面, TCP 重置仅发送到 Web 服务器端,威胁日志的操作列显示"重置服务器"而不是"重置-两者"。 通常,当 firewall 检测 HTTP 到由防病毒签名发送的恶意软件与防病毒配置文件的 http 解码器"重置-两者"的默认操作时,块通知页面从浏览器上发送到浏览器 firewall ,它显示在浏览器上, HTTP 会话在 Web 服务器/浏览器端重置,威胁日志的操作列显示"重置-两者"。
- 为什么威胁日志的操作列显示"重置服务器"而不是"重置-两者",尽管客户正在使用"重置-两者"来执行防病毒配置文件的 http 解码器的默认操作?
Environment
- 恶意软件从 HTTP 会话发送。
- PANOS 8.1
- PANOS 9.0
- PANOS 9。8
- PANOS 10.0
- 客户使用"重置-两者"执行防病毒配置文件的 http 解码器的默认操作。
Answer
- 为了将阻止通知页面插入 HTTP 交付恶意软件的会话中, firewall 需要在响应的第一个数据包中查找恶意软件 HTTP 。 因此,如果 firewall 检测到的威胁不在响应的第一个数据包中,在这种情况下, HTTP 标题已经从 firewall 无法 firewall 发送阻止通知页面传输到浏览器,则唯一采取的操作是向两者发送重置。此结果与预期结果一样。 如果在 firewall 响应的第一个数据包的早期检测到恶意软件,则 firewall 能够将通知页面发送到浏览器。
- 请注意,当响应的第一个数据包中未检测到恶意软件时,此结果是特定的 HTTP 。
- 如果您需要详细描述"安全配置文件中的行动",您可以从 URL pan-os https://docs.paloaltonetworks.com//10-0/-web-interface-help/objects/objects-security-profiles/actions-in-security-profiles.html pan-os