Utilisation des listes d'adresses IP sur les politiques de Palo Alto Networks
Resolution
Détails
Il existe différentes façons d'importer une liste d'adresses IP à gérer par une stratégie sur le pare-feu de Palo Alto Networks.
Options
Utiliser des régions ou des régions personnalisées
Utilisez une région prédéfinie, consultez régions prédéfinies de Palo Alto Networks ou créez une région personnalisée. UNE région personnalisée contient des adresses IP au format IP (x. x. x. x), Range (x. x. x. x-y. y. y. y) ou IP/masque de réseau (x. x. x. x/n). Si une région personnalisée est utilisée, ajoutez des adresses non contiguës manuellement sur l'interface graphique Web ou sur le CLI. Une liste de commandes sur le terminal CLI peut être copiée et collée pour le traitement par lots.
> Configure
# Set Region <RegionName>
# définir l' <RegionName> adresse <IPAddress_01></IPAddress_01> </RegionName> </RegionName> de la région
WHERE
<RegionName>est une chaîne (31 caractères max)
<IPAddress> est une liste de valeurs, une plage IP, ou IP/masque de</IPAddress> réseau</RegionName>
Pour supprimer des entrées, utilisez:
# Supprimer l' <MyRegion>adresse <IPAddress_nn>
</IPAddress_nn> </MyRegion> de région
Pour supprimer l'ensemble de la région, utilisez:
# Supprimer la région <MyRegion></MyRegion>
Remarque: N'Oubliez pas de valider les modifications.
Utiliser un objet d'Adresse FQDN
Associez plusieurs réponses non autorisées pour votre enregistrement DNS'A'. Le pare-feu de Palo Alto Networks ne lira et met en cache que les 10 premières réponses qui ne font pas autorité. Pour plus d'informations, lisez la procédure de configuration et de test des objets FQDN. Cette solution n'est pas à l'échelle S'il y a plus de 10 adresses IP dans la liste et nécessite que la requête DNS soit source d'une interface qui peut atteindre votre serveur DNS configuré. Par défaut, l'interface de gestion sera utilisée pour une requête DNS, à moins que quelque chose de différent soit spécifié dans les itinéraires de service. L'itinéraire de service DNS d'examen est appliqué à tout le trafic allant à l'adresse IP du serveur DNS pour une description de la configuration d'itinéraire de service DNS et de ses avertissements.
Utiliser une liste de blocage dynamique (EBL)
Cette option nécessite l'hébergement d'un fichier texte sur un serveur Web. Vous pouvez définir l’option de répétition mettre automatiquement à jour la liste sur l’appareil horaire, quotidienne, hebdomadaire ou mensuelle. Après avoir créé un objet de liste de blocage dynamique, vous pouvez ensuite utiliser l'objet Address dans les champs source et destination pour les stratégies. Chaque liste importée peut contenir jusqu'à 5 000 adresses IP (IPv4 ou IPv6), plages d’adresses IP ou sous-réseaux. La liste doit contenir une adresse IP, une plage ou un sous-réseau par ligne. Pour plus de détails, lisez configuration de la liste des blocs dynamiques (EBL) sur un appareil de Palo Alto Networks.
Utiliser un groupe d'Adresses dynamiques
L'utilisation d'un groupe d'adresses dynamiques exploite l'API de Palo Alto Networks. La liste des adresses IP doit être conforme à la mise en forme XML. Cette option est hautement évolutive et flexible et est recommandée pour une liste dynamique, où les modifications peuvent être alimentées par un script tiers qui automatisera les mises à jour du groupe d'adresses dynamiques. L'un des principaux avantages du groupe d'adresses dynamiques est que l'ajout ou la suppression d'adresses IP peut être effectué à la volée et qu'une opération de validation n'est pas requise pour appliquer des modifications à un groupe d'adresses dynamiques existant. Pour plus d'informations, consultez utilisation de groupes d'adresses dynamiques sur le pare-feu de Palo Alto Networks.
Utiliser un groupe d'adresses statiques
Les objets Address peuvent être créés sur l'INTERFACE graphique Web, puis associés à un groupe d'Adresses. La tâche peut également être traitée par lots à partir du CLI. Pour plus d'informations, consultez: comment ajouter et vérifier des objets d'adresse pour traiter la stratégie de groupe et de sécurité via le CLI.
> configurer
# set address <AddressObject_01>IP-masque net1.1.1.1/32</AddressObject_01>
# set address <AddressObject_02>FQDN My.example.com</AddressObject_02>
.
.
.
# Set adresse <AddressObject_nn>IP-Range 2.2.2.2-3.3.3.3</AddressObject_nn>
# set address-groupe <AddressGroup>static [ <AddressObject_01> <AddressObject_02>... <AddressObject_nn> ]</AddressObject_nn></AddressObject_02></AddressObject_01></AddressGroup>
Engagez vos changements.
Remarque :
<AddressObject>peut avoir des formats:</AddressObject>
<ip-range></ip-range>
<fqdn></fqdn>
Pour supprimer des objets D'Adresse, utilisez:
# Delete adresse <AddressObject_01>IP-masque net1.1.1.1/32</AddressObject_01>
# Delete adresse <AddressObject_02>FQDN My.example.com</AddressObject_02>
.
.
.
# Delete adresse <AddressObject_nn>IP-Range 2.2.2.2-3.3.3.3</AddressObject_nn>
Remarque: les objets Address sont des entités distinctes et la suppression d'un groupe d'adresses statiques ne supprime pas ses objets d'adresse référencés.
Désassociez les objets Address avec l'une des commandes suivantes:
# Delete adresse-groupe <AddressGroup>statique <AddressObject_nn></AddressObject_nn> </AddressGroup>
# Delete adresse-groupe <AddressGroup>static ><AddressObject_01> <AddressObject_02>...</AddressObject_02> </AddressObject_01> </AddressGroup> <AddressObject_nn>]</AddressObject_nn>
Le groupe entier peut être supprimé avec cette commande:
# Delete adresse-groupe <AddressGroup>statique</AddressGroup>
Engagez vos changements.
propriétaire : mivaldi