Comprendre l'URL de chemin complet pour App Control vs Internet Firewall

Les requêtes HTTP sont traitées différemment par le moteur de Firewall utilisé pour la politique Internet Firewall et le moteur de App Control utilisé pour la politique de contrôle d'application. La plateforme Cato comprend plusieurs moteurs de sécurité qui analysent et traitent simultanément les flux de trafic, et il peut être difficile de comprendre comment les données, telles que l'URL de chemin complet, sont extraites d'un flux spécifique et enregistrées dans un événement.

Pour plus d'informations sur les moteurs de sécurité Cato, voir Comprendre le flux de paquets avec l'architecture Cato SPACE.

L'URL est un attribut qui change souvent avec chaque requête HTTP dans un flux de trafic. Les moteurs de firewall sont conçus pour équilibrer sécurité et performance et n'inspectent pas chaque requête HTTP qui se produit dans un flux. Cela signifie que les données d'URL de chemin complet pour les événements de firewall Internet peuvent être trompeuses. Le PoP fait de son mieux pour enrichir les événements avec des données supplémentaires, et il est possible que les événements du Firewall Internet contiennent les données d'URL de chemin complet.

D'autre part, le moteur App Control examine chaque requête HTTP avec une session et enregistre les données d'URL de chemin complet. Pour les clients qui utilisent le service CASB, les événements de trafic App Security contiendront les données d'URL de chemin complet pour les applications cloud pertinentes, car le moteur App Control a extrait ces données.

La principale différence entre le moteur App Control et le moteur de Firewall est la fréquence à laquelle les requêtes HTTP sont inspectées :

Bonnes pratiques : Si vous souhaitez enregistrer de manière cohérente les données d'URL de chemin complet dans les événements, utilisez la Politique de contrôle d'application pour consigner les événements pour le trafic pertinent avec les paramètres suivants :