Wenn die URL-Kategorie "beliebig" ist, wird der Traffic zugelassen

• Die URL-Kategorie ist auf eine beliebige Trefferregel festgelegt oder wird fälschlicherweise zugelassen
• In den Datenverkehrsprotokollen werden der zulässige Datenverkehr und der Grund für das Ende der Sitzung angezeigt, bei dem es sich nicht um eine Bedrohung handelt

• Pan-OS
• URL-Kategorie, die für Sicherheitsrichtlinienregeln konfiguriert ist

• Die URL-Kategorie any ist standardmäßig zulässig, da es sich um eine Kategorie handelt, die implizit definiert wird, bevor die Kategorie identifiziert wird. Diese Auswahl wurde absichtlich getroffen, denn wenn Sie in einer der Regeln Übereinstimmungskriterien für URL-Kategorien konfiguriert haben und keine Standardzulassungsregel vorhanden ist, wird der gesamte Datenverkehr, dessen Kategorie noch nicht identifiziert wurde, verworfen.
• Wenn die Sitzung beim Start protokolliert wird, kann die Kategorie "beliebig" sein, da nur die Anfangsdaten nach dem 3-Wege-Handshake protokolliert werden. Dies bedeutet, dass wir uns Gedanken darüber machen müssen, ob der Sitzungstyp aus Sicht des Datenverkehrsprotokolls "endet".
• Wenn die identifizierte App-ID die SSL-Kategorie "beliebig" sein kann, bedeutet dies, dass die Sitzung direkt nach dem Ende des SSL-Handshakes beendet wurde. In diesem Fall muss die Sitzung entschlüsselt werden, wenn Bedenken hinsichtlich des Richtlinienabgleichs bestehen. Wenn die App-ID nicht entschlüsselt wird, kann SSL bleiben, daher ist die Firewall nicht in der Lage, den HTTP-Datenverkehr zu überprüfen, um die richtige URL-Kategorie zu finden.
• Wenn die identifizierte App-ID unvollständig ist, die Transaktion unvollständig ist, haben wir keine aussagekräftigen Daten zur Analyse, daher ist die Kategorie "beliebig"
• Die URL-Kategorie der übergeordneten HTTP2-Sitzung ist "beliebig". Dies kann als http2-Verbindungs-ID identifiziert werden, die 0 ist. Für HTTP2, das über eine Verbindungssitzung und eine Streamsitzung verfügt, gibt es innerhalb von HTTP2 mehrere Streams. In der Firewall behandeln wir jede Stream-Sitzung als dedizierte Sitzungen.

• Filtern des Datenverkehrs heraus, bei dem es sich um eine Startprotokollsitzung handelt
• Filtern Sie den Datenverkehr heraus, bei dem es sich um eine SSL-Anwendung, eine unvollständige Anwendung oder eine unzureichende Anwendung handelt.
• Filtern Sie Datenverkehr heraus, der SSL ist und nicht entschlüsselt ist
• Filtern von übergeordneten http2-Sitzungen

Der folgende Filter ist eine gute Referenz, um den relevanten Datenverkehr zu überprüfen:

( Subtype eq 'end' ) und ( app neq 'ssl' ) und ( flags has proxy ) und ( http2_connection neq '0' )

Warum stimmt der Datenverkehr mit der falschen Sicherheitsrichtlinie ab, die auf der benutzerdefinierten URL-Kategorie basiert?