Uso de listas de direcciones IP en las políticas de Palo Alto Networks
Resolution
Detalles
Hay diferentes formas de importar una lista de direcciones IP que se manejarán mediante una directiva en el cortafuegos de Palo Alto Networks.
Opciones
Utilice regiones o regiones personalizadas para utilizar
una región predefinida, consulte las regiones predefinidas de Palo Alto Networks o cree una región personalizada. UNA región personalizada contiene direcciones IP en el formato de IP (x. x. x. x), rango (x. x. x-y. y. y) o IP/máscara de máscaras (x. x. x. x/n). Si se utiliza una región personalizada, agregue manualmente direcciones no contiguas en la GUI web o en la CLI. Se puede copiar y pegar una lista de comandos en el terminal CLI para el procesamiento por lotes.
> configurar
# definir región <RegionName>
# establecer la <RegionName> dirección <IPAddress_01></IPAddress_01> </RegionName> de región</RegionName>
donde
<RegionName>es una cadena (31 caracteres máx.)
<IPAddress> es una lista de valores, un rango IP o IP/máscara de máscaras</IPAddress></RegionName>
Para eliminar entradas utilice:
# eliminar <MyRegion> <IPAddress_nn>
</IPAddress_nn> dirección</MyRegion> de región
Para eliminar todo el uso de la región:
# <MyRegion></MyRegion> eliminar región
Nota: Recuerde que debe cometer los cambios.
Utilizar un objeto de dirección FQDN
Asocie varias respuestas no autoritativas para el registro "A" de su DNS. El cortafuegos de Palo Alto Networks sólo leerá y almacenará en caché las primeras 10 respuestas no autorizadas. Para obtener más información, lea Cómo configurar y probar los objetos FQDN. Esta solución no escala si hay más de 10 direcciones IP en la lista, y requiere que la consulta DNS se origen de una interfaz que puede llegar a su servidor DNS configurado. De forma predeterminada, la interfaz de administración se utilizará para una consulta DNS, a menos que se especifique algo diferente en las rutas de servicio. Revisar la ruta del servicio DNS se aplica a todo el tráfico que vaya a la dirección IP del servidor DNS para obtener una descripción de la configuración de la ruta de servicio DNS y sus advertencias.
Utilizar una lista de bloques dinámicos (EBL)
Esta opción requiere alojar un archivo de texto en un servidor Web. Puede establecer la opción de repetir para actualizar automáticamente la lista en el dispositivo cada hora, diaria, semanal o mensual. Después de crear un objeto de lista de bloques dinámicos, puede utilizar el objeto Address en los campos origen y destino de las directivas. Cada lista importada puede contener hasta 5.000 direcciones IP (IPv4 o IPv6), intervalos de direcciones IP o subredes. La lista debe contener una dirección IP, un intervalo o una subred por línea. Para obtener más información , consulte Configuración de la lista de bloques dinámicos (EBL) en un dispositivo Palo Alto Networks.
Utilizar un grupo de direcciones dinámicos
El uso de un grupo de direcciones dinámicos aprovecha la API de Palo Alto Networks. La lista de direcciones IP debe cumplir con el formato XML. Esta opción es altamente escalable y flexible y se recomienda para una lista dinámica, donde los cambios pueden ser alimentados a través de un script de terceros que automatizará las actualizaciones del grupo de direcciones dinámicas. Una de las principales ventajas del grupo de direcciones dinámicas es que la adición o eliminación de direcciones IP se puede realizar sobre la marcha y no se requiere una operación de confirmación para aplicar cambios a un grupo de direcciones dinámicas existente. Para obtener más información, revise el trabajo con grupos de direcciones dinámicas en el cortafuegos de Palo Alto Networks.
Utilizar un grupo de direcciones estáticas
Se pueden crear objetos de dirección en la GUI web y, a continuación, asociarlos a un grupo de direcciones. La tarea también se puede procesar por lotes desde la CLI. Para obtener más información, vea: Cómo agregar y verificar objetos de dirección para dirigir el grupo y la Directiva de seguridad a través de CLI.
> configurar
# Set dirección <AddressObject_01>IP-máscara de 1.1.1.1/32</AddressObject_01>
# establecer dirección <AddressObject_02>FQDN My.example.com</AddressObject_02>
.
.
.
# Set dirección <AddressObject_nn>IP-Range 2.2.2.2-3.3.3.3</AddressObject_nn>
# establecer dirección-grupo <AddressGroup>estático [ <AddressObject_01> <AddressObject_02>... <AddressObject_nn> ]</AddressObject_nn></AddressObject_02></AddressObject_01></AddressGroup>
Cometan sus cambios.
Nota:
<AddressObject>puede tener formatos:</AddressObject>
<ip-range></ip-range>
<fqdn></fqdn>
Para eliminar objetos de dirección, utilice:
# eliminar dirección <AddressObject_01>IP-máscara de 1.1.1.1/32</AddressObject_01>
# eliminar dirección <AddressObject_02>FQDN My.example.com</AddressObject_02>
.
.
.
# eliminar dirección <AddressObject_nn>IP-Range 2.2.2.2-3.3.3.3</AddressObject_nn>
Nota: los objetos de dirección son entidades separadas y la eliminación de un grupo de direcciones estáticas no eliminará los objetos de dirección a los que se hace referencia.
Desasociar objetos de dirección con uno de los siguientes comandos:
# eliminar dirección-grupo <AddressGroup>estático <AddressObject_nn></AddressObject_nn> </AddressGroup>
# eliminar dirección-grupo <AddressGroup>estático ><AddressObject_01> <AddressObject_02>.</AddressObject_02> </AddressObject_01> </AddressGroup> .. <AddressObject_nn>]</AddressObject_nn>
Todo el grupo puede ser eliminado con este comando:
# eliminar dirección-grupo <AddressGroup>estático</AddressGroup>
Cometan sus cambios.
Propietario: mivaldi