通过代理服务器配置帕洛阿尔托更新

概述

某些环境需要通过代理服务器发送所有的 internet 绑定通信。 此通信量还可能包括帕洛阿尔托网络流量更新。本文介绍需要解决的基本要点, 以允许帕洛阿尔托网络通过代理服务器进行更新。

详细

本文使用的拓扑︰

 帕洛阿尔托网络 (管理端口)---代理服务器----(信任端口) PA (不信任端口)----互联网

配置

1. 代理服务器配置已完成, 设备 > 设置 > 服务
2. 代理服务器端口将是代理服务器配置为的端口, 侦听 HTTP 请求。
3. 用户名和密码是将代理服务器配置为进行身份验证的一种。
4. 帕洛阿尔托网络防火墙将在配置的代理端口上向代理服务器发送 HTTP 连接方法, 以便与端口443上的更新服务器建立连接。
   
   
5. 帕洛阿尔托网络防火墙将使用基本代理身份验证方法, 在代理授权标头中发送凭据。
6. 应将代理服务器配置为接受基本代理身份验证方法, 并且不应提示输入用户名和密码。
   
7. 如果代理服务器通过帕洛阿尔托网络防火墙信任接口连接到 internet, 则应将安全策略配置为允许应用程序"paloalto 更新".
   
   
   
8. 一旦代理服务器能够连接到帕洛阿尔托网络更新服务器, 它将向防火墙管理界面发送连接已建立的消息, 然后 SSL 握手和进一步的通信将开始通过代理获取更新.
   
   注意:代码段中的源 IP 是代理服务器上的另一个 NIC, 用于通过帕洛阿尔托网络防火墙进行 internet 连接.