Понимание полного пути URL для контроля приложений и Интернет-файрвола

HTTP запросы обрабатываются по-разному движком файрвола для политики Интернет-файрвола и движком контроля приложений для политики контроля приложений. Платформа Cato включает несколько движков безопасности, которые одновременно анализируют и обрабатывают потоки трафика, и может быть сложно понять, как данные, такие как полный путь URL, вытягиваются из конкретного потока и фиксируются в событии.

Для получения более подробной информации о движках безопасности Cato, см. Понимание потока пакетов с архитектурой Cato SPACE.

URL — это атрибут, который часто меняется с каждым запросом HTTP в потоке трафика. Движки файрволов разработаны для балансировки безопасности и производительности и не проверяют каждый запрос HTTP, который происходит в потоке. Это означает, что данные полного пути URL для событий интернет-файрвола могут вводить в заблуждение. PoP прикладывает максимум усилий, чтобы обогатить события дополнительными данными, и возможно, что события Интернет-файрвола будут содержать данные полного пути URL.

С другой стороны, движок контроля приложений проверяет каждый запрос HTTP с сессией и записывает данные полного пути URL. Для клиентов, использующих службу CASB, события трафика безопасности приложения будут содержать данные полного пути URL для соответствующих облачных приложений, так как движок контроля приложений извлек эти данные.

Основное различие между движком контроля приложений и движком файрвола — это частота, с которой проверяются запросы HTTP:

Лучшие практики: Если вы хотите последовательно записывать данные полного пути URL в событиях, используйте политику контроля приложений для записи событий для соответствующего трафика с следующими настройками: