Catégorie URL malveillante est coincé dans le firewall
8340
Created On 01/28/21 23:07 PM - Last Modified 04/19/21 16:51 PM
Symptom
- Les réseaux de Palo Alto firewall signale une catégorie malveillante pour un qui URL n’est plus classé comme malveillant.
- Les catégories malveillantes peuvent être dans:
- Malware
- commande et contrôle
- phishing
- La catégorie URL bénigne actuelle peut être vérifiée à https://urlfiltering.paloaltonetworks.com/
Environment
- Palo Alto Networks firewall
- PAN-OS < 9.0.10-h2, 9.1.6, 10.0.2
Cause
Si un utilisateur derrière le firewall parcouru à la question en question quand il a été URL incorrectement classé, la catégorie malveillante peut être resté coincé dans le firewall cache de filtrage URL de l’avion de données.
Resolution
Mise à PAN-OS >= 9,0,10 h2, 9,1,6, 10,0,2.La mise à niveau empêchera les nouvelles entrées de catégorisation malveillantes qui sont effacées de se coincer dans DP le cache.
NOTE : Avant que la mise à niveau puisse avoir
lieu, la solution de contournement disponible est de supprimer l’entrée du URL cache de filtrage. Les étapes et CLI les commandes nécessaires pour contourner la question sont les suivantes :
- Vérifiez si les URL résolutions d’hameçonnage dans le firewall
> test url www.example.com
- Vider le cache
> show system setting url-cache all
- Trouver l’entrée dans le DP cache
> grep dp-log dp_url_DB.log pattern 'example'
- Utilisez URI l’entrée exacte trouvée pour la supprimer du cache et du DP MP cache
> clear url-cache url <found URI in Step 3> > delete url-database url <found URI in Step 3>
- Tester à nouveau
> test url www.example.com
Additional Information
Numéro ID PAN-152027 :