Comprender la URL de ruta completa para el Control de Aplicaciones frente al Firewall de Internet

Las solicitudes HTTP son manejadas de manera diferente por el motor de Firewall utilizado para la política de Firewall de Internet y por el motor de Control de Aplicaciones utilizado para la política de Control de Aplicaciones. La plataforma Cato incluye múltiples motores de seguridad que analizan y procesan simultáneamente los flujos de tráfico, y puede ser difícil comprender cómo se extraen los datos, como la URL de ruta completa, de un flujo específico y se registran en un evento.

Para más información sobre los motores de seguridad Cato, consulte Comprender el flujo de paquetes con la arquitectura Cato SPACE.

La URL es un atributo que a menudo cambia con cada solicitud HTTP dentro de un flujo de tráfico. Los motores de Firewall están diseñados para equilibrar la seguridad y el rendimiento y no inspeccionan cada solicitud HTTP que ocurre dentro de un flujo. Esto significa que los datos de la URL de ruta completa para eventos de firewall de Internet pueden ser engañosos. El PoP hace su mejor esfuerzo para enriquecer eventos con datos adicionales, y es posible que los eventos de Firewall de Internet contengan los datos de la URL de ruta completa.

Por otro lado, el motor de Control de Aplicaciones examina cada solicitud HTTP con una sesión y registra los datos de la URL de ruta completa. Para los clientes que utilizan el servicio CASB, los eventos de tráfico de Seguridad de Aplicaciones contendrán los datos de la URL de ruta completa para las aplicaciones en la nube relevantes, porque el motor de Control de Aplicaciones extrajo esos datos.

La principal diferencia entre el motor de Control de Aplicaciones y el motor de Firewall es la frecuencia con la que se inspeccionan las solicitudes HTTP:

Mejor práctica: Si desea registrar consistentemente los datos de la URL de ruta completa en eventos, use la política de Control de Aplicaciones para registrar eventos para el tráfico relevante con las siguientes configuraciones: