DotW: FQDN 政策
Resolution
在本周的讨论中的一周内 (DotW),我们会看看问题从用户 'aguley' 关于 FQDN。
即使它不是可以使用通配符 FQDN 对象内的,我将重点介绍两个可能的解决方法。
当 FQDN 对象是致力于系统时,管理平面会发出周期性的 DNS 查询来填充此对象与 IP 地址的 DNS 回复从映射。这些映射的 IP 地址,然后被压至 dataplane,他们习惯在安全策略中对象内部。在 dataplane,此对象包含只在它接收来自管理飞机,但没有域信息的 IP 地址。每个上 dataplane 的 FQDN 对象仅限于最多 10 个 IP 地址。执行没有实际的 URL 查找,这就是为什么不能使用通配符。
如果要求允许 web 浏览到所有可能的子域的某些域,一个基于目标中的自定义 URL 类别的安全策略可能有用填补 FQDN 对象和 URL 过滤安全配置文件之间的差距。
第一步是创建一个自定义的 URL 类别包含所需的通配符域:
下一步,在服务/URL 类别选项卡中使用自定义的 URL 类别的位置的安全策略。
注意:此操作不需要 url 筛选许可证或 url 筛选安全配置文件.
这允许出站 web 浏览到所有子域的域,则可以阻止所有其他连接。
稍微复杂一点的解决方法,允许更多的多功能性是使用动态地址组和标记可以更新的 API 调用。在这种情况下,DNS 解析必须由外部脚本,但是在动态的地址组中允许的地址的数量是远远大于 FQDN 对象。
首先,您需要生成的 API 密钥:
https://hostname/api/?type=keygen&user=username&password=password
在哪里的防火墙 ip 地址或主机名主机名,用户名和密码是您的用户名和密码。
输出将会看起来有点像这样:
接下来,创建一个标记来表示 IP 地址池:
然后创建一个新的动态地址组,添加标记作为匹配条件:
最后,创建使用 DAG 的安全策略。
这一天现在可以使用 IP 地址从外部脚本填充。可以使用寄存器操作添加 IPs ,也可使用注销操作删除.
本示例准备向wildcard1标记注册2个新的 IP 地址:
user@myserver: # 猫通配符. xml
<uid-message>
<version>1.0</version>
<type>更新</type>
<payload>
<register>
<entry ip="195.51.100.1">
<tag>
<member>wildcard1</member>
</tag> </entry><entry ip="195.51.100.2">
<tag>
<member></member> wildcard1
</tag> </entry> </register> </payload> </uid-message>
该文件可以与任一 wget 推出或卷曲 — — 该示例使用 wget:
user@myserver: ~~ wget--无检查证书--文件后通配符. xml "https://MyIP/api/?type=user-id&action=set&key=111MyKey111=&file-name=wildcard.xml&client=wget"--不 http 保持生存
--2015-09-28 10:30:30--https://MyIP/api/?类型 = 用户 id 和操作 = 设置和键 = 111MyKey111 = 和文件名 = 通配符. xml 和客户端 = wget
连接到 MyIP:443... 连接。
警告: 无法验证 MyIP 的证书, 它由 '/C = US/ST = CA/升 =/O = 帕洛阿尔托网络/OU = 支持/CN = 本地主机/电子邮件地址 = support@paloaltonetworks. com ':
遇到自签名证书.
警告: 证书公用名 "本地主机" 与请求的主机名 "MyIP" 不匹配。
HTTP 请求已发送, 正在等待响应... 200确定
长度: 167 [应用程序/xml]
保存到: ' 索引. html?类型 = 用户 id 和操作 = 设置和键 = 111MyKey111 = 和文件名 = 通配符. xml 和客户端 = wget ' 100% [== == == == == == == == == == == == ==
== === 167--.-K/秒在 0s
中的...... = == == = === = = ====2015-09-28 10:30:31 (36.7 MB/秒)-' 索引. html 类型 = 用户 id 和操作 = 设置和键 = 111MyKey111 = 和文件名 = 通配符. xml 和客户端 = wget ' 已保存 [167/167]
要验证是否添加了 IP 地址, 请单击 "更多"..。 在 GUI 地址组的链接:
或使用 CLI 命令:
admin@PA-200> 显示对象注册-ip 所有
注册的 ip 标签
---------------------------------------------------------
195.51.100.1 #
"wildcard1"
195.51.100.2 #
"wildcard1"
总计: 2 注册地址
*:从用户 id 代理 #: 持久性
您还可以验证 IP 地址现在正在使用的安全策略:
admin@PA-200> 显示运行安全-策略
dynobject {
从信任;
来源任何;
源区域无;
不信任;
目的地 [195.51.100.1 195.51.100.2];
目的地-区域无;
用户任何;
类别; 或申请/服务任何/任何/任何/任何/任何
;
行动允许;
无法访问 icmp: 没有
终端是;
}
要查看原始讨论, 请按照以下链接: FQDN 策略
鼓励所有的意见或建议。
感谢阅读 !
汤姆各地
其他信息:
有关动态地址组的详细信息: