URLカテゴリを設定する際にその登録するURLに対して、文頭に「*」を設定するか、末尾に「/」を設定するかなどで悩んだのでそれぞれの挙動についてまとめてみました。
PAN-OS は [10.2.3] を利用しています。
1.URLカテゴリで [yahoo.co.jp] を設定した場合
まずは、文頭に「*」や末尾に「/」を設定しない場合のURLカテゴリの挙動を調べてみます。
準備(URLカテゴリとポリシーの設定)
・URLカテゴリで「URL-yahoo」を作成して「yahoo.co.jp」を設定します。
・セキュリティポリシーで「URL-yahoo」を設定した許可ポリシーを設定します。
また、その下のポリシーとして「All-Deny」を作成しておきます。
yahoo.co.jp へのアクセス
この状態で「yahoo.co.jp」にアクセスするとページを開くことはできませんでした。
「yahoo.co.jp」にアクセスすると「www.yahoo.co.jp」に変換されてアクセスすることになります。
ですが、今回URLカテゴリで許可したURLとしては「*」なども付けていない「yahoo.co.jp」のURLだけなので、「www.yahoo.co.jp」は許可URLに含まれていないということになり、アクセスすることができませんでした。
2.URLカテゴリで [*.yahoo.co.jp] を設定した場合
次に、文頭に「*」を追加したURLでURLカテゴリを定義して挙動を確認してみます。
準備(URLカテゴリの変更)
・URLカテゴリ「URL-yahoo」を変更して「*.yahoo.co.jp」として設定します。
yahoo.co.jp へのアクセス
この状態で「yahoo.co.jp」にアクセスすると、画面表示は崩れていますがページを開くことができました。
また、「news.yahoo.co.jp/pickup」などのURLにおけるサブディレクトリに対してもアクセスすることができました。
3.URLカテゴリで [*.yahoo.co.jp/] を設定した場合
次に、文頭に「*」を設定した状態で、さらに末尾に「/」を追加したURLでURLカテゴリを定義して挙動を確認してみます。
準備(URLカテゴリの変更)
・URLカテゴリ「URL-yahoo」を変更して「*.yahoo.co.jp/」として設定します。
yahoo.co.jp へのアクセス
この状態で「yahoo.co.jp」にアクセスすると、先ほどと同様に画面表示は崩れていますがページを開くことができました。
また、「news.yahoo.co.jp/pickup」などのURLにおけるサブディレクトリに対してもアクセスすることができました。
まとめ
URLカテゴリの挙動を試した上記結果のまとめです。
「*」について
・「*」がついていない場合、設定しているURL以上のサブドメインまで含まれない。
= 設定しているURL以上のサブドメインを含みたい場合には「*」を利用するべし
設定例
[*.yahoo.co.jp]としてURLカテゴリを設定した場合は[www.yahoo.co.jp]にアクセスできる。
[yahoo.co.jp]としてURLカテゴリを設定した場合は[www.yahoo.co.jp]にアクセスできない。
「/」について
・URLの末尾に「/」をつけた場合とつけない場合で [URLカテゴリの挙動] は一緒
→[URLカテゴリの挙動] とは、
[*.hogehoge.com]もしくは[*.hogehoge.com/]としてURLカテゴリを設定した場合、「hogehoge.com/hoge」などのサブディレクトリに対してもアクセス可能という挙動。
[参考] *.yahoo.*.jp や *.yahoo.^.jp も設定可能
ちなみにURLカテゴリでは、「*.yahoo.*.jp」というように間のサブドメインをワイルドカードとして設定することもできます。
ただしこの場合、「www.yahoo.co.jp」にもアクセス可能ですが、「www.yahoo.co.co.co.jp」というURLにもアクセス可能となってしまうため注意が必要です。
もし、間のサブドメインを1つに限定したい場合には「^」を利用することで解決することができます。
この場合、「www.yahoo.co.co.co.jp」は含まれず、「www.yahoo.co.jp」や「www.yahoo.hogehoge.jp」というようなURLに限定することができます。
