DotW: FQDN 政策

DotW: FQDN 政策

110680
Created On 09/25/18 18:55 PM - Last Modified 06/05/23 07:59 AM


Resolution


在本周的讨论中的一周内 (DotW),我们会看看问题从用户 'aguley' 关于 FQDN。

 

2015-09-25_14-03-22.png

 

即使它不是可以使用通配符 FQDN 对象内的,我将重点介绍两个可能的解决方法。

 

当 FQDN 对象是致力于系统时,管理平面会发出周期性的 DNS 查询来填充此对象与 IP 地址的 DNS 回复从映射。这些映射的 IP 地址,然后被压至 dataplane,他们习惯在安全策略中对象内部。在 dataplane,此对象包含只在它接收来自管理飞机,但没有域信息的 IP 地址。每个上 dataplane 的 FQDN 对象仅限于最多 10 个 IP 地址。执行没有实际的 URL 查找,这就是为什么不能使用通配符。

 

如果要求允许 web 浏览到所有可能的子域的某些域,一个基于目标中的自定义 URL 类别的安全策略可能有用填补 FQDN 对象和 URL 过滤安全配置文件之间的差距。

 

第一步是创建一个自定义的 URL 类别包含所需的通配符域:

2015-09-25_15-44-33.png

 

下一步,在服务/URL 类别选项卡中使用自定义的 URL 类别的位置的安全策略。

 

2015-09-25_15-25-12.png

注意:此操作不需要 url 筛选许可证或 url 筛选安全配置文件.

 

这允许出站 web 浏览到所有子域的域,则可以阻止所有其他连接。

 

 

稍微复杂一点的解决方法,允许更多的多功能性是使用动态地址组和标记可以更新的 API 调用。在这种情况下,DNS 解析必须由外部脚本,但是在动态的地址组中允许的地址的数量是远远大于 FQDN 对象。

 

 

首先,您需要生成的 API 密钥:

https://hostname/api/?type=keygen&user=username&password=password

 在哪里的防火墙 ip 地址或主机名主机名,用户名和密码是您的用户名和密码。

 

输出将会看起来有点像这样:

 

<>状态= "成功">
<result></result>
<key></key>
111MyKey111

 

 

接下来,创建一个标记来表示 IP 地址池:

 

2015-09-28_10-08-02.png

 

然后创建一个新的动态地址组,添加标记作为匹配条件:

 

2015-09-28_10-09-03.png

 

最后,创建使用 DAG 的安全策略。

 

2015-09-28_10-13-19.png

 

 

这一天现在可以使用 IP 地址从外部脚本填充。可以使用寄存器操作添加 IPs ,也可使用注销操作删除.

 

本示例准备向wildcard1标记注册2个新的 IP 地址:

 

user@myserver: # 猫通配符. xml 
 <uid-message> 
 <version>1.0</version>
<type>更新</type>
<payload>
<register>
<entry ip="195.51.100.1">
<tag>
<member>wildcard1</member>


        </tag>  </entry><entry ip="195.51.100.2">
<tag>
<member></member> wildcard1




        </tag>   </entry>   </register> </payload>  </uid-message>

 

该文件可以与任一 wget 推出或卷曲 — — 该示例使用 wget:

 

user@myserver: ~~ wget--无检查证书--文件后通配符. xml "https://MyIP/api/?type=user-id&action=set&key=111MyKey111=&file-name=wildcard.xml&client=wget"--不 http 保持生存
--2015-09-28 10:30:30--https://MyIP/api/?类型 = 用户 id 和操作 = 设置和键 = 111MyKey111 = 和文件名 = 通配符. xml 和客户端 = wget
连接到 MyIP:443...  连接。
警告: 无法验证 MyIP 的证书, 它由 '/C = US/ST = CA/升 =/O = 帕洛阿尔托网络/OU = 支持/CN = 本地主机/电子邮件地址 = support@paloaltonetworks. com ':
遇到自签名证书. 
    警告: 证书公用名 "本地主机" 与请求的主机名 "MyIP" 不匹配。
HTTP 请求已发送, 正在等待响应... 200确定
长度: 167 [应用程序/xml]
保存到: ' 索引. html?类型 = 用户 id 和操作 = 设置和键 = 111MyKey111 = 和文件名 = 通配符. xml 和客户端 = wget ' 100% [== == == == == == == == == == == == ==

== === 167--.-K/秒在 0s

中的...... = == == = === = = ====2015-09-28 10:30:31 (36.7 MB/秒)-' 索引. html 类型 = 用户 id 和操作 = 设置和键 = 111MyKey111 = 和文件名 = 通配符. xml 和客户端 = wget ' 已保存 [167/167]

要验证是否添加了 IP 地址, 请单击 "更多"..。 在 GUI 地址组的链接:

 

2015-09-28_14-06-50.png

 

或使用 CLI 命令:

 

admin@PA-200> 显示对象注册-ip 所有

注册的 ip 标签
---------------------------------------------------------

195.51.100.1 #
 "wildcard1"

195.51.100.2 #
 "wildcard1"

总计: 2 注册地址
*:从用户 id 代理 #: 持久性


您还可以验证 IP 地址现在正在使用的安全策略:

 

admin@PA-200> 显示运行安全-策略

dynobject {
从信任;
       来源任何;
源区域无;
不信任;
目的地 [195.51.100.1 195.51.100.2];
目的地-区域无;
用户任何;
类别; 或申请/服务任何/任何/任何/任何/任何
;
行动允许;
无法访问 icmp: 没有
终端是;
}

 

 

要查看原始讨论, 请按照以下链接: FQDN 策略

 

鼓励所有的意见或建议。

 

感谢阅读 !

 

汤姆各地

 

其他信息:

正则表达式模式为 FQDN 地址对象的

如何配置和测试 FQDN 对象 

 

有关动态地址组的详细信息:

在帕洛阿尔托网络防火墙上使用动态地址组

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRfCAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language