【Paloalto】URLカテゴリの挙動について「*」と「/」を調べてみた

Paloalto Paloalto

URLカテゴリを設定する際にその登録するURLに対して、文頭に「*」を設定するか、末尾に「/」を設定するかなどで悩んだのでそれぞれの挙動についてまとめてみました。

PAN-OS は [10.2.3] を利用しています。

広告

1.URLカテゴリで [yahoo.co.jp] を設定した場合

まずは、文頭に「*」や末尾に「/」を設定しない場合のURLカテゴリの挙動を調べてみます。

準備(URLカテゴリとポリシーの設定)

・URLカテゴリで「URL-yahoo」を作成して「yahoo.co.jp」を設定します。

URLカテゴリで「URL-yahoo」を作成して「yahoo.co.jp」を設定

・セキュリティポリシーで「URL-yahoo」を設定した許可ポリシーを設定します。
 また、その下のポリシーとして「All-Deny」を作成しておきます。

「URL-yahoo」を設定した許可ポリシーを設定し、その下のポリシーとして「All-Deny」を作成

yahoo.co.jp へのアクセス

この状態で「yahoo.co.jp」にアクセスするとページを開くことはできませんでした。

「yahoo.co.jp」にアクセスするとページを開くことはできない

「yahoo.co.jp」にアクセスすると「www.yahoo.co.jp」に変換されてアクセスすることになります。

ですが、今回URLカテゴリで許可したURLとしては「*」なども付けていない「yahoo.co.jp」のURLだけなので、「www.yahoo.co.jp」は許可URLに含まれていないということになり、アクセスすることができませんでした。

2.URLカテゴリで [*.yahoo.co.jp] を設定した場合

次に、文頭に「*」を追加したURLでURLカテゴリを定義して挙動を確認してみます。

準備(URLカテゴリの変更)

・URLカテゴリ「URL-yahoo」を変更して「*.yahoo.co.jp」として設定します。

URLカテゴリ「URL-yahoo」を変更して「*.yahoo.co.jp」として設定

yahoo.co.jp へのアクセス

この状態で「yahoo.co.jp」にアクセスすると、画面表示は崩れていますがページを開くことできました。

「yahoo.co.jp」にアクセスすると、画面表示は崩れているがページを開くことができる

また、「news.yahoo.co.jp/pickup」などのURLにおけるサブディレクトリに対してもアクセスすることができました。

「news.yahoo.co.jp/pickup」などのURLにおけるサブディレクトリに対してもアクセスすることができる

3.URLカテゴリで [*.yahoo.co.jp/] を設定した場合

次に、文頭に「*」を設定した状態で、さらに末尾に「/」を追加したURLでURLカテゴリを定義して挙動を確認してみます。

準備(URLカテゴリの変更)

・URLカテゴリ「URL-yahoo」を変更して「*.yahoo.co.jp/」として設定します。

URLカテゴリ「URL-yahoo」を変更して「*.yahoo.co.jp/」として設定

yahoo.co.jp へのアクセス

この状態で「yahoo.co.jp」にアクセスすると、先ほどと同様に画面表示は崩れていますがページを開くことができました。

先ほどと同様にページを開くことができる

また、「news.yahoo.co.jp/pickup」などのURLにおけるサブディレクトリに対してもアクセスすることができました。

先ほどと同様にURLにおけるサブディレクトリに対してもアクセスすることができる

まとめ

URLカテゴリの挙動を試した上記結果のまとめです。

「*」について

「*」がついていない場合、設定しているURL以上のサブドメインまで含まれない。

 = 設定しているURL以上のサブドメインを含みたい場合には「*」を利用するべし

設定例
[*.yahoo.co.jp]としてURLカテゴリを設定した場合は[www.yahoo.co.jp]にアクセスできる。
[yahoo.co.jp]としてURLカテゴリを設定した場合は[www.yahoo.co.jp]にアクセスできない。

「/」について

URLの末尾に「/」をつけた場合とつけない場合で [URLカテゴリの挙動] は一緒

→[URLカテゴリの挙動] とは、
 [*.hogehoge.com]もしくは[*.hogehoge.com/]としてURLカテゴリを設定した場合、「hogehoge.com/hoge」などのサブディレクトリに対してもアクセス可能という挙動

[参考] *.yahoo.*.jp や *.yahoo.^.jp も設定可能

ちなみにURLカテゴリでは、「*.yahoo.*.jp」というように間のサブドメインをワイルドカードとして設定することもできます。

「*.yahoo.*.jp」というように間のサブドメインをワイルドカードとして設定することも可能

ただしこの場合、「www.yahoo.co.jp」にもアクセス可能ですが、「www.yahoo.co.co.co.jp」というURLにもアクセス可能となってしまうため注意が必要です。

もし、間のサブドメインを1つに限定したい場合には「^」を利用することで解決することができます

間のサブドメインを1つに限定したい場合には「^」を設定

この場合、「www.yahoo.co.co.co.jp」は含まれず、「www.yahoo.co.jp」や「www.yahoo.hogehoge.jp」というようなURLに限定することができます。

タイトルとURLをコピーしました