DotW: FQDN のポリシー
Resolution
(DotW) の週の週の議論で 'aguley' FQDN についてのユーザーからの質問を見て行きます。
にもかかわらず、それは FQDN オブジェクト内のワイルドカードを使用することは、2 つの考えられる回避策を取り上げます。
FQDN オブジェクトがシステムにコミットされると、管理面は、IP アドレス、DNS 応答からマッピングでこのオブジェクトを作成する定期的な DNS クエリを送信します。これらのマップされた IP アドレスが、セキュリティ ポリシーでオブジェクトの内部に使用される、データ プレーン ・にプッシュします。、データ プレーン ・上このオブジェクトには、管理面では、ドメイン情報がありませんから受け取った IP アドレスのみが含まれています。データ プレーン ・各 FQDN オブジェクトは最大 10 個の IP アドレスに限定されます。実際の URL 参照は行われない、だからこそ、ワイルドカードは使用できません。
要件が特定のドメインのすべての可能なサブドメインをブラウズしているウェブを許可する場合、先にカスタム URL カテゴリに基づいてセキュリティ ポリシーは FQDN オブジェクトと URL フィルタ リング セキュリティ プロファイルとの間のギャップを埋めるに役に立つかもしれない。
最初のステップは、目的のワイルドカード ドメインを含むカスタム URL カテゴリを作成するのには。
次に、カスタムの URL カテゴリがサービス/URL カテゴリ タブで使用されているセキュリティ ポリシー。
注意:この機能を使用するには、url フィルタリングライセンスまたは url フィルタリングセキュリティプロファイルは必要ありません。
これは他のすべての接続がブロックされている間、ドメインのすべてのサブドメインにウェブブラウジングを送信することができます。
汎用性は動的アドレス グループを使用することができるわずかにより複雑な解決策および API によって更新することができますタグを呼び出します。このシナリオでは、DNS 解決は外部スクリプトによって実行されなければならないが動的アドレス グループに登録できる連絡先の数は FQDN オブジェクトよりもはるかに大きい。
最初に、API キーを生成する必要があります。
https://hostname/api/?type=keygen&user=username&password=password
ホスト名は、ファイアウォールの ip アドレスまたはホスト名が、ユーザー名とパスワードは、ユーザー名とパスワード。
多少このような出力になります。
次に、IP アドレスのプールを表すためのタグを作成します。
新しい動的アドレス グループを作成し、条件を満たすとタグを追加します。
最後に、DAG を使用してセキュリティ ポリシーを作成します。
この DAG 外部スクリプトから IP アドレスが表示されることができます。登録操作で IPs を追加したり、解除操作で削除することができます。
この例では、wildcard1タグに2つの新しい IP アドレスを登録する準備をしました。
ユーザー @ myserver: ~ # cat ワイルドカード。xml
<uid-message>
<version>1.0</version>
<type>更新</type>
<payload>
<register>
<entry ip="195.51.100.1">
<tag>
<member>wildcard1</member>
</tag> </entry><entry ip="195.51.100.2">
<tag>
<member></member> wildcard1
</tag> </entry> </register> </payload> </uid-message>
ファイルすることができますいずれかの wget を使って押し出されるまたはカール - 例は、wget を使用しています。
ユーザー @ myserver: ~ # wget の--チェックなし証明書--ファイルのワイルドカードを指定します。xml "https://MyIP/api/?type=user-id&action=set&key=111MyKey111=&file-name=wildcard.xml&client=wget"--http-キープアライブ
--2015-09-28 10:30:30--https://MyIP/api/?タイプ = ユーザー id & アクション = セット & キー = 111MyKey111 = & ファイル名 = ワイルドカード. xml とクライアント = wget
の MyIP への接続: 443 ... 接続。
警告: '/c = 米国/ST = CA/L = サニーベール/O = パロアルトネットワーク/OU = サポート/CN = localhost/emailAddress = support@paloaltonetworks.com ' によって発行された MyIP の証明書を確認できません:
自己署名証明書が見つかりました。
警告: 証明書の共通名 ' localhost ' は要求されたホスト名 ' MyIP ' と一致しません。
HTTP 要求が送信され、応答を待っています... 200 [OK]
を長さ: 167 [アプリケーション/xml]
に保存する: ' インデックス .html? タイプ = ユーザー id & アクション = セット & キー = 111MyKey111 = & ファイル名 = ワイルドカード. xml & クライアント = wget ' 100% [= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
167--.-K/s で 0
2015-09-28 10:30:31 (36.7 MB/秒)-' index. html? タイプ = ユーザー id & アクション = set & key = 111MyKey111 = & ファイル名 = ワイルドカード. xml & クライアント = wget ' 保存 [167/167]
IP アドレスが追加されたことを確認するには、[詳細] をクリックします。 GUI のアドレス グループ リンクします。
または CLI コマンドを使用します。
管理者 @ PA-200 > 表示オブジェクトが登録されている-ip アドレスのすべての登録されている
ip タグ
---------------------------------------------------------
195.51.100.1 # "
wildcard1"
195.51.100.2 #
"wildcard1"
合計: 2 登録住所
*:ユーザー id エージェント # から受信しました: 永続的 な
また、IP アドレスのセキュリティ ポリシーで使用されて今でも確認できます。
管理者 @ PA-200 > 実行中のセキュリティを表示する-ポリシー
dynobject {
信頼から;
ソース任意;
ソースリージョンなし;
untrust;
目的地 [195.51.100.1 195.51.100.2];
宛先リージョンなし;
ユーザーのいずれか;
カテゴリ any;アプリケーション/サービス任意/任意/任意の
;
アクションが許可;
icmp-到達不能: いいえ
ターミナルはい;
}
元のディスカッションを表示するには、次のリンクをクリックしてください: FQDN ポリシー
すべてのコメントや提案を歓迎しています。
読書をありがとう!
トム Piens
追加情報。
動的アドレス グループの詳細については:
パロ ・ アルトのネットワーク ファイアウォールの動的アドレス グループの操作