Konfigurieren und Testen von FQDN Objekten
383407
Created On 09/25/18 17:39 PM - Last Modified 01/12/22 21:24 PM
Environment
- PAN-OS 7.1 und höher.
- Palo Alto Firewall .
- Adressobjektkonfiguration.
Resolution
Überlegungen
- Das FQDN Objekt ist ein Adressobjekt, d. h., es ist so gut wie das Verweisen auf eine Quelladresse oder Zieladresse in einer Sicherheit policy .
- Daher werden die Palo Alto-Netzwerke alle 30 Minuten eine Aktualisierung ausführen, in der sie eine Suche nach dem konfigurierten Server ausführen Firewall FQDN NS DNS (Setup > Services). Die firewall Zuordnung von bis zu 32 Adressen zu diesem IP FQDN Objekt.
- Stellen Sie sicher, dass dies den gleichen Server, den Ihre Gastgeber verwenden. DNS Malware kann eine Lösung wie diese negativ beeinflussen.
- Verwenden Sie diese Methode nur, wenn die Verwendung einer IP Adresse nicht möglich ist - verwenden Sie diesen Objekttyp nicht als Teil einer URL Filterung policy .
- Dies kann auch hilfreich sein, andere Dienste, die beziehen sich nicht auf Web-Browser wie ftp, ssh, oder jede andere Dienstleistung zu kontrollieren.
- Wenn das Objekt auch in eine IPv6-Adresse aufgelöst wird, aktivieren Sie IPv6 Firewalling (Device > Setup > Session).
Konfigurieren das Objekt
Um mit der Konfiguration von FQDN Objekten zu beginnen, gehen Sie zu Objekte > Adressen
- Klicken Sie auf Hinzufügen, um ein neues Adressobjekt zu erstellen
- Ändern Sie den Typ von ' IP /Netmask' in ' FQDN '
- Geben Sie die Adresse ein (schließen Sie http :/oder einen anderen Header nicht ein)
- Auf OK
- Commit der Änderungen
Auf der CLI können Objekte mit dem folgenden Befehl im FQDN Konfigurationsmodus festgelegt werden:
# setzen Adresse Google Fqdn www.google.com
Bestätigung der Änderungen
- Ein automatischer FQDN Aktualisierungstask wird im Hintergrund ausgeführt. Der Status dieses Auftrags kann überprüft werden, indem Sie auf die Schaltfläche Aufgaben in der unteren rechten Ecke des GUI klicken.
- Das CLI Befehlsanforderungssystem fqdn show kann dann verwendet werden, um die Liste der Objekte und die Adressen anzuzeigen, FQDN die diesem Namen zugeordnet IP sind.
- Es ist möglich, eine Aktualisierung zu erzwingen, indem Sie das Befehlsanforderungssystem fqdn refresh ausführen.
- Als empfohlene zusätzliche Prüfung, pingen Sie den Host von einem Desktop, um sicherzustellen, dass er mit der adresse übereinstimmt, die IP nach dem Ausführen des Befehls: Request system fqdn show aufgeführt wurde.