如何配置和测试 FQDN 对象

• PAN-OS 7.1及以上。
• 帕洛阿尔托 Firewall .
• 地址对象配置。

考虑

• 对象 FQDN 是地址对象，这意味着它与在安全中引用源地址或目的地地址一样好 policy 。
• 因此，每 30 分钟，Palo Alto 网络 Firewall 将进行 FQDN 刷新，其中它会 NS 查找 DNS 已配置的服务器（设置>服务）。 该 firewall 对象的地图多达 32 IP 个地址 FQDN 。
• 请确保这是您的主机所使用的同一台服务器。 DNS 恶意软件可能会对这样的解决方案产生不利影响。
• 仅在无法使用地址时才使用此方法 IP -不要将此类型的对象用作筛选的一部分 URL policy 。
• 这也可以有助于控制不涉及 web 浏览像 ftp，ssh，其他服务或任何其他服务。
• 如果对象还解析为 IPv6 地址，请启用 IPv6 防火墙（设备>设置>会话。

配置对象

要开始对象配置 FQDN ，转到 对象 > 地址

1. 单击 " 添加"创建新地址对象
2. 将类型从 IP "/内特马斯克"更改为 FQDN ""
3. 输入地址（不包括 http ：//或任何其他标头）
4. 点击 OK
5. 提交 更改

在 CLI 配置 FQDN 模式下，可以使用以下命令设置对象：

# 设置地址谷歌 fqdn www.google.com

确认所做的更改

• 自动刷新 FQDN 任务将在后台运行。 通过单击右下角的任务按钮，可以检查此作业的状态 GUI 。
• CLI然后，命令请求系统 fqdn 显示可用于查看对象列表 FQDN 和 IP 与该名称关联的地址。
• 通过运行命令请求系统 fqdn 刷新可以强制刷新。
• 作为推荐的额外检查，请从桌面上 ping 主机，以确保它与 IP 运行命令后列出的地址匹配： 请求系统 fqdn 显示。