Pourquoi le site de test de filtrage des URL de Palo Alto Networks n'est-il pas classé à tort dans la catégorie « évitement et anonymisation des proxys » mais dans la catégorie « informations informatiques et Internet » ?

Lorsque le site de test de filtrage des URL suivant est consulté, il n'est pas identifié comme la catégorie correcte.

urlfiltering.paloaltonetworks.com/test-Proxy-Avoidance-and-Anonymizers/

• PAN-OS 10.1, 10.2, 11.0, 11.1, 11.2
• filtrage des URL

Lorsque l' URL est accessible normalement avec un navigateur, HTTPS est utilisé à la place de HTTP .

Étant donné que les navigateurs récents n'affichent plus « http:// » ou « https:// » dans la barre d'adresse, il est difficile de distinguer lequel est utilisé.

{Barre d'arrêt dans Google Chrome]

Lorsque l' URL est accessible via HTTPS, le champ URL inclus dans le «HTTP GET » est crypté et le pare-feu nouvelle génération n'est pas en mesure de le déterminer.

Dans ce cas, le pare-feu nouvelle génération fait référence au champ SNI (Server Name Indication) inclus dans le SSL Client Hello.

Cependant, le champ SNI décrit uniquement le nom d'hôte.

[ capturer et décodage du client Hello sur Wireshark]

Par conséquent, le nom d'hôte « urlfiltering.paloaltonetworks.com » est classé dans la catégorie « informations-informatiques-et-internet ».

Si vous utilisez la page de test de filtrage URL , veuillez y accéder en utilisant l' URL complète, y compris « http:// » ou activer la fonctionnalité de décryptage.

Veuillez vous référer à cet article pour la configuration du décryptage SSL .
Comment configurer le décryptage SSL