パロアルトネットワークポリシーでの IP アドレス一覧の使用
Resolution
詳細
パロアルトネットワークファイアウォールのポリシーによって処理される IP アドレスの一覧をインポートするには、さまざまな方法があります。
オプション
リージョンまたはカスタムリージョンを使用するには
、定義済みのリージョンを使用するか、「パロアルトネットワークの定義済みリージョン」を参照するか、カスタムリージョンを作成します。カスタム領域には、ip アドレス (x.25)、範囲 (x. x. x-y、y)、または ip/ネットマスク (x.25. x. x/n) が含まれます。カスタム領域を使用する場合は、Web GUI または CLI で、連続していないアドレスを手動で追加します。CLI 端末のコマンドのリストは、バッチ処理のためにコピーして貼り付けることができます。
> 設定領域 # 設定地域
<RegionName>
<RegionName>アドレス <IPAddress_01></IPAddress_01> </RegionName> </RegionName>
where
<RegionName>文字列 (最大31文字) は、
<IPAddress>値のリスト、ip アドレスの範囲、または ip/ネットマスク</IPAddress>です。</RegionName>
エントリを削除するには使用:
# 削除地域の<MyRegion>アドレス<IPAddress_nn>
</IPAddress_nn> </MyRegion>
リージョン全体を削除するには:
# リージョン<MyRegion></MyRegion>の削除
注:変更をコミットすることを忘れないでください。
FQDN アドレスオブジェクトを使用する
DNS ' A ' レコードに対して、複数の権限のない回答を関連付けます。パロ・アルト・ネットワーク・ファイアウォールは、最初の10の非権威の答えを読み、そしてキャッシュするだけでしょう。詳細については、「FQDN オブジェクトを構成およびテストする方法」を参照してください。このソリューションは、一覧に10個以上の IP アドレスがある場合には拡張されず、構成済みの dns サーバーに到達できるインターフェイスから dns クエリを供給する必要があります。既定では、サービスルートで別のものが指定されていない限り、DNS クエリに対して管理インターフェイスが使用されます。dns サービスルート構成の説明とその注意事項については、dns サーバーの IP アドレスに送信されるすべてのトラフィックに対して、dns service ルートを確認します。
ダイナミックブロックリストを使用する (EBL)
このオプションでは、web サーバー上でテキストファイルをホストする必要があります。毎日、毎週、または毎月の時間、デバイスのリストを自動的に更新する繰り返しオプションを設定できます。動的ブロックリストオブジェクトを作成した後、ポリシーの [送信元] および [変換先] フィールドで address オブジェクトを使用できます。各インポートするリストは、IP の範囲、またはサブネット 5,000 の IP アドレス (IPv4 または IPv6) まで含めることができます。この一覧には、1行あたりの IP アドレス、範囲、またはサブネットが含まれている必要があります。詳細については、パロアルトネットワークデバイス上のダイナミックブロックリスト (EBL ) の設定を参照してください。
動的アドレスグループを使用する
動的アドレスグループを使用すると、パロアルトネットワーク API を活用できます。IP アドレスの一覧は、XML 形式に準拠する必要があります。このオプションは非常にスケーラブルで柔軟性に優れており、動的なリストでは、動的アドレスグループの更新を自動化するサードパーティのスクリプトを使用して変更を行うことをお勧めします。動的アドレスグループの主な利点の1つは、IP アドレスの追加または削除をその場で実行できることと、既存の動的アドレスグループに変更を適用するためのコミット操作が不要であることです。詳細については、 「パロアルトネットワークファイアウォールでの動的アドレスグループの使用」を参照してください。
静的アドレスグループを使用する
アドレスオブジェクトは、Web GUI 上で作成してから、アドレスグループに関連付けることができます。タスクは、CLI からバッチ処理することもできます。詳細については、「CLI を使用してグループおよびセキュリティポリシーをアドレス指定するアドレスオブジェクトを追加および検証する方法」を参照してください。
>構成
# アドレス ip を設定する<AddressObject_01>-ネットマスク 1.1.1.1/32</AddressObject_01>
# アドレスの<AddressObject_02>fqdn my.example.com</AddressObject_02>を設定する
.
.
.
# アドレス<AddressObject_nn>の ip-範囲 2.2.2.2-3.3.3.3</AddressObject_nn>を設定する
# 設定アドレスグループ<AddressGroup>静的 [.. <AddressObject_01> <AddressObject_02>.<AddressObject_nn> ]</AddressObject_nn></AddressObject_02></AddressObject_01></AddressGroup>
変更をコミットします。
注:
<AddressObject>形式を持つことができます:</AddressObject>
<ip-range></ip-range>
<fqdn></fqdn>
アドレスオブジェクトを削除するには、次のように使用します。
# 削除アドレス<AddressObject_01>ip-ネットマスク 1.1.1.1/32</AddressObject_01>
# アドレスの<AddressObject_02>fqdn my.example.com</AddressObject_02>を削除します。
.
.
.
# 削除アドレス<AddressObject_nn>ip-範囲 2.2.2.2-3.3.3.3</AddressObject_nn>
注: address オブジェクトは別個のエンティティであり、静的アドレスグループを削除しても、参照先のアドレスオブジェクトは削除されません。
Deassociate は、次のいずれかのコマンドを使用してアドレスオブジェクトを指定します。
# アドレスを削除する-グループの<AddressGroup>静的<AddressObject_nn></AddressObject_nn> </AddressGroup>
# アドレスを削除する-グループの<AddressGroup>静的 >..<AddressObject_01> <AddressObject_02>.</AddressObject_02> </AddressObject_01> </AddressGroup> <AddressObject_nn>]</AddressObject_nn>
このコマンドを使用して、グループ全体を削除できます。
# アドレスを削除する-グループの<AddressGroup>静的</AddressGroup>
変更をコミットします。
所有者: mivaldi