恶意 URL 类别卡在 firewall

恶意 URL 类别卡在 firewall

8328
Created On 01/28/21 23:07 PM - Last Modified 03/26/21 18:59 PM


Symptom


  • 帕洛阿尔托网络 firewall 报告一个不再 URL 归类为恶意的恶意类别。
  • 恶意类别可能包含:
    • 恶意软件
    • 命令和控制
    • 网络钓鱼
  • 当前良性 URL 类别可在 https://urlfiltering.paloaltonetworks.com/ 验证

Environment


  • 帕洛阿尔托网络 firewall
  • PAN-OS < 9.0.10-h2, 9.1.6, 10.0.2

Cause


如果在被 firewall URL 错误分类时浏览到有问题的用户,恶意类别可能已卡在 firewall 数据平面的 URL 过滤缓存中。

Resolution


升级到 PAN-OS >=9.0.10-h2、9.1.6、10.0.2。升级将防止清除的新恶意分类条目卡在 DP 缓存中。

NOTE :
在升级之前,可用的解决方法是从过滤缓存中删除条目 URL 。 CLI解决该问题所需的步骤和命令是:
  1. 检查 URL 是否决心在 firewall
> test url www.example.com
 
  1. 转储缓存
> show system setting url-cache all
 
  1. 查找缓存中的条目 DP
> grep dp-log dp_url_DB.log pattern 'example'
 
  1. 使用找到的确切 URI 条目将其从 DP 缓存中删除 MP
> clear url-cache url <found URI in Step 3>
> delete url-database url <found URI in Step 3>
 
  1. 再次测试
> test url www.example.com

Additional Information


问题 ID PAN-152027
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HCgjCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language