恶意 URL 类别卡在 firewall
8328
Created On 01/28/21 23:07 PM - Last Modified 03/26/21 18:59 PM
Symptom
- 帕洛阿尔托网络 firewall 报告一个不再 URL 归类为恶意的恶意类别。
- 恶意类别可能包含:
- 恶意软件
- 命令和控制
- 网络钓鱼
- 当前良性 URL 类别可在 https://urlfiltering.paloaltonetworks.com/ 验证
Environment
- 帕洛阿尔托网络 firewall
- PAN-OS < 9.0.10-h2, 9.1.6, 10.0.2
Cause
如果在被 firewall URL 错误分类时浏览到有问题的用户,恶意类别可能已卡在 firewall 数据平面的 URL 过滤缓存中。
Resolution
升级到 PAN-OS >=9.0.10-h2、9.1.6、10.0.2。升级将防止清除的新恶意分类条目卡在 DP 缓存中。
NOTE :
在升级之前,可用的解决方法是从过滤缓存中删除条目 URL 。 CLI解决该问题所需的步骤和命令是:
- 检查 URL 是否决心在 firewall
> test url www.example.com
- 转储缓存
> show system setting url-cache all
- 查找缓存中的条目 DP
> grep dp-log dp_url_DB.log pattern 'example'
- 使用找到的确切 URI 条目将其从 DP 缓存中删除 MP
> clear url-cache url <found URI in Step 3> > delete url-database url <found URI in Step 3>
- 再次测试
> test url www.example.com
Additional Information
问题 ID PAN-152027 :