Comment configurer et tester des FQDN objets
383407
Created On 09/25/18 17:39 PM - Last Modified 01/12/22 21:24 PM
Environment
- PAN-OS 7,1 et plus.
- Palo Alto Firewall .
- Configuration de l’objet d’adresse.
Resolution
Considérations
- FQDNL’objet est un objet d’adresse, ce qui signifie qu’il est aussi bon que le référencement d’une adresse source ou d’une adresse de destination dans une sécurité policy .
- Par conséquent, toutes les 30 minutes, les réseaux Palo Alto Firewall feront FQDN un rafraîchissement, dans lequel il fait une attention au serveur NS qui est DNS configuré (Setup > Services). Les firewall cartes jusqu’à 32 IP adresses à cet FQDN objet.
- Assurez-vous que c’est le même serveur qui utilisent vos hôtes. DNS malware peut nuire à une solution comme celle-ci.
- Utilisez cette méthode uniquement lorsque vous utilisez une IP adresse n’est pas possible - n’utilisez pas ce type d’objet dans le cadre d’un URL filtrage policy .
- Cela peut aussi être utile pour contrôler les autres services qui ne se rapportent à la navigation comme ftp, ssh, ou tout autre service.
- Si l’objet se résout également à une adresse IPv6, activer le pare-feu IPv6(périphérique > configuration > session).
Configuration de l’objet
Pour commencer la configuration des FQDN objets, rendez-vous sur les objets > adresses
- Cliquez sur Ajouter pour créer un nouvel objet d’adresse
- Changer le type de ' IP /Netmask' à FQDN ''
- Entrez l’adresse (n’incluez pas http:// ou tout autre en-tête)
- Cliquez sur OK
- Valider les modifications
Sur le CLI , objets peuvent être FQDN définis en utilisant la commande suivante en mode configurer:
# définir adresse Google fqdn www.google.com
Confirmant les changements
- Une tâche de rafraîchissement FQDN automatique s’exécutera en arrière-plan. L’état de ce travail peut être vérifié en cliquant sur le bouton Tâches dans le coin inférieur droit de la GUI .
- Le CLI système de demande de commande fqdn show peut ensuite être utilisé pour afficher la liste des objets et les FQDN IP adresses associées à ce nom.
- Il est possible de forcer un rafraîchissement en exécutant le système de demande de commande fqdn rafraîchissement.
- Comme une vérification supplémentaire recommandée, ping l’hôte à partir d’un bureau pour s’assurer qu’il correspond à IP l’adresse énumérée après l’exécution de la commande: demande système fqdn montrer.