Verwendung von IP-AdressListen zu Palo Alto Networks-RichtLinien
Resolution
Details
Es gibt verschiedene Möglichkeiten, eine Liste von IP-Adressen zu importieren, die durch eine Richtlinie über die Palo Alto Networks Firewall behandelt werden sollen.
Optionen
Nutzen Sie Regionen oder KundenSpezifische Regionen
, nutzen Sie eine vorgegebene Region, sehen Sie Palo Alto Networks vordefinierte Regionen oder schaffen Sie eine eigene Region. EINE BenutzerDefinierte Region enthält IP-Adressen im Format von IP (x. x. x. x), Range (x. x. x. x-y. y. y. y) oder IP/Netmask (x. x. x. x/n). Wenn eine BenutzerDefinierte Region verwendet wird, fügen Sie nicht-zusammenhängende Adressen manuell auf der Web-GUI oder auf dem CLI hinzu. EINE Liste von Befehlen auf dem CLI-Terminal kann kopiert und für die Stapelverarbeitung eingefügt werden.
> Konfiguration
# Set Region <RegionName>
# setzen Region <RegionName> Adresse <IPAddress_01></IPAddress_01> </RegionName> </RegionName>
WHERE
<RegionName>ist eine Zeichenkette (maximal 31 Zeichen)
<IPAddress> ist eine Liste von Werten, ein IP-Bereich, oder IP/ netmask</IPAddress></RegionName>
Um Einträge zu löschen, verwenden Sie:
# Löschen Region <MyRegion>Adresse <IPAddress_nn>
</IPAddress_nn> </MyRegion>
Um die gesamte Region zu löschen:
# Delete Region <MyRegion></MyRegion>
Hinweis: denken Sie daran, die Änderungen zu begehen.
Verwenden Sie ein FQDN-Adress Objekt
Assoziieren Sie mehrere nicht-maßgebliche Antworten für Ihre DNS ' A '-Aufzeichnung. Die Palo Alto Networks Firewall wird nur die ersten 10 nicht-maßgeblichen Antworten lesen und Zwischenspeichern. Für weitere Informationen lesen Sie, wie Sie FQDN-Objekte konfigurieren und testen. Diese Lösung skaliert nicht, wenn mehr als 10 IP-Adressen auf der Liste stehen, und erfordert, dass die DNS-Abfrage von einer Schnittstelle bezogen wird, die ihren konfigurierten DNS-Server erreichen kann. Standardmäßig wird die Management-Schnittstelle für eine DNS-Abfrage verwendet, es sei denn, in den Service-Routen wird etwas anderes angegeben. Rezension DNS Service Route wird auf den gesamten Traffic angewendet, der an die DNS-Server-IP-Adresse geht, um eine Beschreibung der DNS-Service-Routen Konfiguration und ihrer Vorbehalte zu haben.
Verwenden Sie eine dynamische Block Liste (EBL)
Diese Option erfordert das Hosting einer Textdatei auf einem Web-Server. Sie können die Option "wiederholen" in der Liste auf das Gerät stündlich, täglich, wöchentlich oder monatlich automatisch aktualisieren festlegen. Nachdem Sie ein dynamisches Blocklisten Objekt erstellt haben, können Sie dann das Adress Objekt in den Quell-und Zielfeldern für die Richtlinien verwenden. Jedes importierte Liste kann bis zu 5.000 IP-Adressen (IPv4 oder IPv6), IP-Bereiche oder Subnetze enthalten. Die Liste muss eine IP-Adresse, einen Bereich oder ein Subnetz pro Zeile enthalten. Weitere Details finden Sie in der Konfiguration der dynamischen Block Liste (EBL) auf einem Palo Alto Networks-Gerät.
Verwenden Sie eine dynamische Adress Gruppe
Die Verwendung einer dynamischen Adress Gruppe nutzt die Palo Alto Networks API. Die Liste der IP-Adressen muss der XML-Formatierung entsprechen. Diese Option ist hochgradig skalierbar und flexibel und wird für eine dynamische Liste empfohlen, in der Änderungen durch ein Skript von Drittanbietern gespeist werden können, das Aktualisierungen der dynamischen Adress Gruppe automatisiert. Ein Hauptvorteil der dynamischen Adress Gruppe ist, dass das Hinzufügen oder Entfernen von IP-Adressen im Handumdrehen erfolgen kann und eine Commit-Operation nicht erforderlich ist, um Änderungen an einer bestehenden dynamischen Adress Gruppe vorzunehmen. Für weitere Informationen, überprüfen Sie die Arbeit mit dynamischen Adressgruppen auf der Palo Alto Networks Firewall.
Verwenden Sie eine statische Adress Gruppe
Adress Objekte können auf der Web-GUI erstellt und dann einer Adress Gruppe zugeordnet werden. Die Aufgabe kann auch aus dem CLI Batch-bearbeitet werden. Weitere Informationen finden Sie unter: wie Sie Adress Objekte hinzufügen und verifizieren, um Gruppen-und Sicherheitsrichtlinien durch das CLI zu adressieren.
> configure
# Set <AddressObject_01>-Adresse IP-Netmask 1.1.1.1/32</AddressObject_01>
# Set-Adresse <AddressObject_02>FQDN My.example.com</AddressObject_02>
.
.
.
# Set-Adresse <AddressObject_nn>IP-Range 2.2.2.2-3.3.3.3</AddressObject_nn>
# Set-Adresse-Gruppe <AddressGroup>statisch [ <AddressObject_01> <AddressObject_02>... <AddressObject_nn> ]</AddressObject_nn></AddressObject_02></AddressObject_01></AddressGroup>
Ihre Änderungen zu übertragen.
Hinweis:
<AddressObject>können Formate haben:</AddressObject>
<ip-range></ip-range>
<fqdn></fqdn>
Um Adress Objekte zu löschen, verwenden Sie:
# DELETE Adresse <AddressObject_01>IP-Netmask 1.1.1.1/32</AddressObject_01>
# DELETE Adresse <AddressObject_02>FQDN My.example.com</AddressObject_02>
.
.
.
# DELETE Adresse <AddressObject_nn>IP-Range 2.2.2.2-3.3.3.3</AddressObject_nn>
Hinweis: Adress Objekte sind separate Entitäten, und das Löschen einer statischen Adress Gruppe löscht Ihre referenzierten Adress Objekte nicht.
Deassoziieren Sie Adress Objekte mit einem der folgenden Befehle:
# Löschen Sie die Adresse-Gruppe <AddressGroup>statisch <AddressObject_nn></AddressObject_nn> </AddressGroup>
# Löschen Sie die Adresse-Gruppe <AddressGroup>statisch ><AddressObject_01> <AddressObject_02>...</AddressObject_02> </AddressObject_01> </AddressGroup> <AddressObject_nn>]</AddressObject_nn>
Die gesamte Gruppe kann mit diesem Befehl gelöscht werden:
# Löschen Sie die Adresse-Gruppe <AddressGroup>statisch</AddressGroup>
Ihre Änderungen zu übertragen.
Besitzer: Mivaldi