本文讨论了 Cato Cloud 中的不同安全引擎如何在流量流中处理完整路径 URL 的数据。
超文本传输协议请求由用于互联网防火墙策略的防火墙引擎和用于应用控制策略的应用控制引擎以不同方式处理。 Cato 平台包括多个安全引擎,它们同时分析和处理流量流,可能难以理解如何从特定流中提取数据(如完整路径 URL)并记录到事件中。
有关 Cato 安全引擎的更多信息,请参阅Understanding Packet Flow with Cato SPACE Architecture。
网址是一个随着超文本传输协议请求在流量流中经常改变的属性。 防火墙引擎旨在平衡安全和性能,并不检查流中发生的每一个超文本传输协议请求。 这意味着,互联网防火墙事件的完整路径 URL 数据可能会误导。 网络接入点尽力通过附加数据来丰富事件,互联网防火墙事件可能包含完整路径 URL 数据。
另一方面,应用控制引擎检查每个有会话的超文本传输协议请求并记录完整路径 URL 数据。 对于使用云访问安全代理服务的客户,应用安全性流量事件将包含相关云应用的完整路径 URL 数据,因为应用控制引擎提取了这些数据。
应用控制引擎与防火墙引擎之间的主要区别在于检查超文本传输协议请求的频率:
-
应用控制引擎:
-
对于应用控制策略(云访问安全代理 (CASB)),检查每一个超文本传输协议请求及流量流
-
为事件记录完整路径 URL字段
-
-
防火墙引擎:
-
对于互联网防火墙策略,检查流量流中的第一个超文本传输协议请求
-
对于事件中记录完整路径 URL字段的行为不一致
-
最佳实践: 如果您希望在事件中一致地记录完整路径 URL 数据,请使用应用控制策略来记录相关流量事件,使用以下设置:
-
应用程序 - 任何云应用程序
-
条件 - 任何细粒度活动
0 条评论
文章评论已关闭。