管理内容更新的技巧
Environment
- 帕洛阿尔托Firewall.
- PAN-OS 8.1, 9.0, 9.1, 10.0, 10.1
Resolution
本文档展示了可用于管理内容更新的各种方法。 可以使用图形用户界面管理内容更新firewall, 终端主机CLI,或通过手动流程从客户服务门户下载内容更新(CSP ).
GRAPHICAL USER INTERFACE (GUI )
查看当前可用的内容firewall, 去设备 > 动态更新. 从那里,可以执行以下功能:
- 点击“立即查看”,触发请求下载所有内容版本的最新内容firewall被授权支持
- 单击发行说明以查看内容更新的说明。
- 单击“操作”列中包含所需内容版本的行中的“下载”,以下载该版本firewall. 下载完成后,“已下载”列中会显示一个复选标记,“操作”列会显示现在“安装”相同内容的选项
- 单击“操作”列中先前“已下载”内容版本所在行上的“安装”,以安装下载的内容更新,使其成为“当前已安装”的内容版本。
Palo Alto Networks 提供配置灵活性以满足客户需求policy.
除了少数例外,新的防病毒内容每天都会发布,而威胁通常会在太平洋时间周二和周四晚上发布。如果出现严重的“第一天”问题,问题内容将被删除或被新版本取代。 通常,问题会在发布后的前 24 小时内被发现并采取行动。
例如,每个更新都可以手动下载和安装,如上文所述或自动安排:
- 要设置内容类型的时间表,请单击字符“时间表:”旁边的标记文本
- 指定更新的频率和时间,以及是下载并安装更新还是仅下载更新。 设置每小时偏移量以免干扰其他更新。
- 如果选择仅下载,则可以通过单击动态更新页面上的升级链接来安装下载的更新。 什么时候OK被点击,更新被安排。 此外,还有一个选项可以通过设置一个阈值来延迟采取的操作,该阈值指示在任一操作发生之前新内容必须达到多长时间。
- 如果担心新下载的应用程序可能会干扰现有的安全性policy, 它们可以被禁用,直到管理员手动审查并启用它们,请阅读本文以获取更多信息:提示与技巧:如何在内容更新中使用“禁用新应用”
我们建议安排AV每日重复的应用程序/威胁内容,具有下载和安装操作以及根据站点的风险与收益容忍度设定的阈值。
每日重复允许下载任何新的计划外版本以修复关键错误或过滤更新。 下载并安装避免手动与系统交互。
如果在更新时没有新的更新firewall检查 updates.paloaltonetworks.com 它将等到下一个预定时间检查。
还建议不要将更新计划设置为与其他更新同时设置,因为这会导致资源冲突firewall并且不会安装一个更新。
Wildfire 更新应安排为每 15 分钟、5 分钟或每分钟下载和安装一次,具体取决于客户的需要和网络带宽。
COMMAND LINE INTERFACE (CLI )
在里面CLI, 可以通过以下命令访问各种内容类型:
- 杀毒软件
- 行政@PA-VM > 请求杀毒升级
- > 检查从帕洛阿尔托网络服务器获取信息
- > 下载 下载杀毒包
- > info 显示有关可用反病毒软件包的信息
- > 安装安装防病毒包
- 行政@PA-VM > 请求杀毒升级
- 应用与威胁
- 行政@PA-VM > 请求内容升级
- > 检查从帕洛阿尔托网络服务器获取信息
- > 下载 下载内容包
- > info 显示有关可用内容包的信息
- > 安装安装内容包
- 行政@PA-VM > 请求内容升级
- Wildfire
- 行政@PA-VM > 请求wildfire升级
- > 检查从帕洛阿尔托网络服务器获取信息
- > 下载 下载wildfire包裹
- > info 显示可用的信息wildfire包裹
- > 安装 安装wildfire包裹
- 行政@PA-VM > 请求wildfire升级
查看当前可用的内容firewall,可以为每种内容类型运行以下命令:
request anti-virus upgrade info
request content upgrade info
request wildfire upgrade info
要升级其中的任何这些内容类型CLI,可以按顺序运行以下命令来检查它们的内容,下载所需的内容版本,然后安装相同的内容版本。
admin@PA-VM> request content upgrade check Version Size Released on Downloaded Installed ------------------------------------------------------------------------- 8496-7089 52MB 2021/12/06 21:50:02 EST no no 8504-7131 52MB 2021/12/16 23:49:11 EST no no 8501-7114 52MB 2021/12/14 13:09:49 EST no no 8502-7118 52MB 2021/12/15 00:35:39 EST no no 8493-7073 52MB 2021/11/29 17:35:04 EST no no 8506-7141 52MB 2021/12/19 02:17:12 EST no no 8497-7093 52MB 2021/12/07 20:29:09 EST no no 8494-7079 52MB 2021/11/30 19:54:37 EST no no 8499-7107 52MB 2021/12/10 22:12:28 EST no no 8498-7098 52MB 2021/12/09 23:57:24 EST no no 8500-7110 52MB 2021/12/12 23:12:26 EST no no 8503-7125 52MB 2021/12/16 01:10:38 EST yes previous 8505-7134 52MB 2021/12/17 21:35:31 EST yes current 8495-7081 52MB 2021/12/02 17:28:58 EST no no admin@PA-VM> request content upgrade download latest force yes Download job enqueued with jobid 207 207 admin@PA-VM> show jobs id 207 Enqueued Dequeued ID Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------ 2021/12/21 00:09:40 00:09:40 207 Downld FIN OK 00:09:43 Warnings: Details:File successfully downloaded admin@PA-VM> request content upgrade info Version Size Released on Downloaded Installed ------------------------------------------------------------------------- 8496-7089 52MB 2021/12/06 21:50:02 EST no no 8504-7131 52MB 2021/12/16 23:49:11 EST no no 8501-7114 52MB 2021/12/14 13:09:49 EST no no 8502-7118 52MB 2021/12/15 00:35:39 EST no no 8493-7073 52MB 2021/11/29 17:35:04 EST no no 8506-7141 52MB 2021/12/19 02:17:12 EST yes no 8497-7093 52MB 2021/12/07 20:29:09 EST no no 8494-7079 52MB 2021/11/30 19:54:37 EST no no 8499-7107 52MB 2021/12/10 22:12:28 EST no no 8498-7098 52MB 2021/12/09 23:57:24 EST no no 8500-7110 52MB 2021/12/12 23:12:26 EST no no 8503-7125 52MB 2021/12/16 01:10:38 EST yes previous 8505-7134 52MB 2021/12/17 21:35:31 EST no current 8495-7081 52MB 2021/12/02 17:28:58 EST no no admin@PA-VM> request content upgrade install version latest Content install job enqueued with jobid 214 214 admin@PA-VM> show jobs id 214 Enqueued Dequeued ID Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------ 2021/12/21 00:13:06 00:13:06 214 Content ACT PEND 49% Warnings: Details: admin@PA-VM> show jobs id 214 Enqueued Dequeued ID Type Status Result Completed ------------------------------------------------------------------------------------------------------------------------------ 2021/12/21 00:13:06 00:13:06 214 Content FIN OK 00:15:15 Warnings: Details:Configuration committed successfully Successfully committed last configuration
请注意,运行“request content upgrade install version latest”命令后,内容升级会自动提交。您可以运行“请求内容升级信息”命令来查看当前安装的内容版本。
admin@PA-VM> request content upgrade info Version Size Released on Downloaded Installed ------------------------------------------------------------------------- 8496-7089 52MB 2021/12/06 21:50:02 EST no no 8504-7131 52MB 2021/12/16 23:49:11 EST no no 8501-7114 52MB 2021/12/14 13:09:49 EST no no 8502-7118 52MB 2021/12/15 00:35:39 EST no no 8493-7073 52MB 2021/11/29 17:35:04 EST no no 8506-7141 52MB 2021/12/19 02:17:12 EST yes current 8497-7093 52MB 2021/12/07 20:29:09 EST no no 8494-7079 52MB 2021/11/30 19:54:37 EST no no 8499-7107 52MB 2021/12/10 22:12:28 EST no no 8498-7098 52MB 2021/12/09 23:57:24 EST no no 8500-7110 52MB 2021/12/12 23:12:26 EST no no 8503-7125 52MB 2021/12/16 01:10:38 EST yes no 8505-7134 52MB 2021/12/17 21:35:31 EST no previous 8495-7081 52MB 2021/12/02 17:28:58 EST no no
CUSTOMER SUPPORT PORTAL (CSP )
要手动安装内容更新,可以登录客户支持门户并选择更新 > 动态更新.
选择动态更新时,可以选择要下载的内容类型。
在选择了所需的内容类型后,可以下载所需的内容版本并将其保存到本地硬盘。
必须将下载的内容上传到firewall. 去设备 > 动态更新并选择屏幕底部的“上传”。
“导入内容包”窗口打开,需要选择内容类型和之前下载的内容文件。
将内容上传到后firewall,必须将下载的内容安装到firewall. 去设备 > 动态更新并选择“从文件安装”。
“选择安装包类型”窗口打开,需要选择内容包类型和之前下载的内容文件。
一个可以检查设备 > 动态更新并查看“当前安装”版本与从CSP门户网站。 您还可以看到,由于手动上传和安装内容版本文件,因此未下载内容版本。
Additional Information
为了PAN-OS9.0及以上,参考应用程序和威胁内容更新的最佳实践