Понимание полного пути URL для контроля приложений и межсетевого экрана Интернета

HTTP-запросы обрабатываются по-разному движком файервола, который используется для политики межсетевого экрана для Интернета, и движком контроля приложений, используемым для политики контроля приложений. Платформа Cato включает несколько движков безопасности, которые одновременно анализируют и обрабатывают потоки трафика, и может быть трудно понять, как данные, такие как полный путь URL, извлекаются из конкретного потока и регистрируются в событии.

Для получения дополнительной информации о движках безопасности Cato см. статью Understanding Packet Flow with Cato SPACE Architecture.

URL является атрибутом, который часто изменяется с каждым HTTP-запросом в потоке трафика. Движки файервола разработаны для балансировки безопасности и производительности и не проверяют каждый HTTP-запрос, который происходит в потоке. Это значит, что данные о полном пути URL для событий межсетевого экрана Интернета могут вводить в заблуждение. PoP делает все возможное, чтобы обогатить события дополнительными данными, и возможно, что события межсетевого экрана Интернета будут содержать данные полного пути URL.

С другой стороны, движок контроля приложений проверяет каждый HTTP-запрос с сессией и регистрирует данные полного пути URL. Для клиентов, использующих сервис CASB, события трафика безопасности приложений будут содержать данные полного пути URL для соответствующих облачных приложений, потому что движок контроля приложений извлек эти данные.

Основное различие между движком контроля приложений и движком файервола заключается в частоте, с которой проверяются HTTP-запросы:

Лучшая практика: Если вы хотите постоянно регистрировать данные полного пути URL в событиях, используйте политику контроля приложений для записи событий для соответствующего трафика со следующими настройками: