Konfigurieren und Testen von FQDN Objekten

Konfigurieren und Testen von FQDN Objekten

346369
Created On 09/25/18 17:39 PM - Last Modified 01/12/22 21:24 PM


Environment


  • PAN-OS 7.1 und höher.
  • Palo Alto Firewall .
  • Adressobjektkonfiguration.

Resolution


Überlegungen

  • Das FQDN Objekt ist ein Adressobjekt, d. h., es ist so gut wie das Verweisen auf eine Quelladresse oder Zieladresse in einer Sicherheit policy .
  • Daher werden die Palo Alto-Netzwerke alle 30 Minuten eine Aktualisierung ausführen, in der sie eine Suche nach dem konfigurierten Server ausführen Firewall FQDN NS DNS (Setup > Services). Die firewall Zuordnung von bis zu 32 Adressen zu diesem IP FQDN Objekt.
  • Stellen Sie sicher, dass dies den gleichen Server, den Ihre Gastgeber verwenden. DNS Malware kann eine Lösung wie diese negativ beeinflussen.
  • Verwenden Sie diese Methode nur, wenn die Verwendung einer IP Adresse nicht möglich ist - verwenden Sie diesen Objekttyp nicht als Teil einer URL Filterung policy .
  • Dies kann auch hilfreich sein, andere Dienste, die beziehen sich nicht auf Web-Browser wie ftp, ssh, oder jede andere Dienstleistung zu kontrollieren.
  • Wenn das Objekt auch in eine IPv6-Adresse aufgelöst wird, aktivieren Sie IPv6 Firewalling (Device > Setup > Session).


Konfigurieren das Objekt

Um mit der Konfiguration von FQDN Objekten zu beginnen, gehen Sie zu Objekte > Adressen

  1. Klicken Sie auf Hinzufügen, um ein neues Adressobjekt zu erstellen
  2. Ändern Sie den Typ von ' IP /Netmask' in ' FQDN '
  3. Geben Sie die Adresse ein (schließen Sie http :/oder einen anderen Header nicht ein)
  4. Auf OK
  5. Commit der Änderungen

2.JPG

 

Auf der CLI können Objekte mit dem folgenden Befehl im FQDN Konfigurationsmodus festgelegt werden:

# setzen Adresse Google Fqdn www.google.com

 

Bestätigung der Änderungen

  • Ein automatischer FQDN Aktualisierungstask wird im Hintergrund ausgeführt. Der Status dieses Auftrags kann überprüft werden, indem Sie auf die Schaltfläche Aufgaben in der unteren rechten Ecke des GUI klicken.
  • Das CLI Befehlsanforderungssystem fqdn show kann dann verwendet werden, um die Liste der Objekte und die Adressen anzuzeigen, FQDN die diesem Namen zugeordnet IP sind.
  • Es ist möglich, eine Aktualisierung zu erzwingen, indem Sie das Befehlsanforderungssystem fqdn refresh ausführen.
  • Als empfohlene zusätzliche Prüfung, pingen Sie den Host von einem Desktop, um sicherzustellen, dass er mit der adresse übereinstimmt, die IP nach dem Ausführen des Befehls: Request system fqdn show aufgeführt wurde.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHJCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language