在帕洛阿尔托网络策略中使用 IP 地址列表

在帕洛阿尔托网络策略中使用 IP 地址列表

99623
Created On 09/25/18 17:46 PM - Last Modified 06/08/23 08:51 AM


Resolution


详细

有不同的方法来导入一个 IP 地址列表, 由帕洛阿尔托网络防火墙上的策略来处理。

 

选项

使用区域或自定义区域
使用预定义区域, 请参阅帕洛阿尔托网络预定义区域, 或创建自定义区域. 自定义区域包含 ip 地址 (x.x.x. x)、范围 (x.x.x. x y.y.y. y) 或 ip/网络掩码 (x.x.x. x/n) 的格式。如果使用自定义区域, 请在 Web GUI 或 CLI 上手动添加非连续地址。可以复制和粘贴 CLI 终端上的命令列表以进行批处理。


>> 配置
# 设置区域 <RegionName>
# 设置区域 <RegionName> 地址<IPAddress_01></IPAddress_01> </RegionName> </RegionName>

where

<RegionName>字符串 (最大31个字符)
 <IPAddress>是值列表、ip 范围或 ip/网络掩码 </IPAddress></RegionName>

 

删除条目使用:
# 删除区域<MyRegion>地址<IPAddress_nn>
</IPAddress_nn> </MyRegion>

 

删除整个区域使用:
# 删除区域<MyRegion></MyRegion>


注意:请记住提交更改.

 

使用 FQDN 地址对象

为您的 DNS "A" 记录关联多个非权威性答案。帕洛阿尔托网络防火墙只会读取和缓存前10个非权威性的答案。有关详细信息, 请阅读如何配置和测试 FQDN 对象. 如果列表中有超过10个 IP 地址, 并且要求 DNS 查询来自可以到达您配置的 DNS 服务器的接口, 则此解决方案不会扩展。默认情况下, 管理接口将用于 DNS 查询, 除非服务路由中指定了不同的内容。审阅 dns服务路由将应用到所有访问 dns 服务器 IP 地址的通信,以说明 dns 服务路由配置及其警告.

 

使用动态阻止列表 (EBL)

此选项要求在 web 服务器上承载文本文件。您可以设置重复选项来自动更新设备每小时、每天、每周或每月的列表。在创建动态阻止列表对象之后, 可以在策略的源字段和目标域中使用地址对象。每个导入的列表可以包含多达 5,000 的 IP 地址 (IPv4 或 IPv6),ip 地址范围或子网。该列表必须包含每个行的一个 IP 地址、范围或子网。有关详细信息, 请参阅在帕洛阿尔托网络设备上配置动态阻止列表 (EBL).

 

使用动态地址组

使用动态地址组利用帕洛阿尔托网络 API。IP 地址列表需要符合 XML 格式。此选项具有高度可伸缩性和灵活性, 建议用于动态列表, 其中可以通过第三方脚本来提供更改, 从而自动更新到动态地址组。动态地址组的一个主要优点是可以在飞行中添加或删除 IP 地址, 并且不需要提交操作将更改应用到现有的动态地址组。有关详细信息, 请查看在帕洛阿尔托网络防火墙上使用动态地址组.

 

使用静态地址组

可以在 Web GUI 上创建地址对象, 然后将其与地址组关联。该任务还可以从 CLI 进行批处理。有关更多信息, 请参见:如何通过 CLI 添加和验证地址对象以解决组和安全策略.

>>配置

# 设置地址<AddressObject_01>ip-网络掩码 1.1. 1.1/32</AddressObject_01>

# 设置地址<AddressObject_02>fqdn my.example.com</AddressObject_02>

.

.

.

# 设置地址<AddressObject_nn>ip-范围 2.2. 2.2-3.3. 3.3</AddressObject_nn>

# 设置地址组<AddressGroup>静态 [ <AddressObject_01> <AddressObject_02>..。<AddressObject_nn> ]</AddressObject_nn></AddressObject_02></AddressObject_01></AddressGroup>

 

提交更改.

 

注意:

<AddressObject>可以有格式:</AddressObject>

     <ip-range></ip-range>

    

     <fqdn></fqdn>

 

要删除地址对象, 请使用:

# 删除地址<AddressObject_01>ip-网络掩码 1.1. 1.1/32</AddressObject_01>

# 删除地址<AddressObject_02>fqdn my.example.com</AddressObject_02>

.

.

.

# 删除地址<AddressObject_nn>ip-范围 2.2. 2.2-3.3. 3.3</AddressObject_nn>

 

注意:地址对象是单独的实体, 删除静态地址组不会删除其引用的地址对象.

使用以下命令之一 Deassociate 地址对象:

# 删除地址-组<AddressGroup>静态<AddressObject_nn></AddressObject_nn> </AddressGroup>

# 删除地址-组<AddressGroup>静态 >><AddressObject_01> <AddressObject_02>...</AddressObject_02> </AddressObject_01> </AddressGroup> <AddressObject_nn>]</AddressObject_nn>

 

可以使用此命令删除整个组:

# 删除地址-组<AddressGroup>静态</AddressGroup>

 

提交更改.

 

所有者: mivaldi
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClJ7CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language