部署内容更新的最佳做法

如果您拥有帕洛阿尔托网络下一代防火墙并管理软件更新 (包括动态更新), 请学习最佳做法和建议, 以确保从帕洛阿尔托网络顺利部署每周内容。

 

问题: 如何根据组织的规模或性质应用最佳做法？

 

场景 1: 我有任务关键型应用程序, 但没有暂存或测试环境

我们建议您使用 "阈值" 功能来延迟内容更新的推出。 为此, 请将每个防火墙配置为使用延迟计时器自动下载和安装内容发布。

这可以配置在设备->> 动态更新->> 应用程序和威胁更新-> 时间表

 

如果在您的环境中具有关键任务应用程序, 建议您使用24小时或更长的值。 

 

如果您不能将内容安装延迟24小时或更长时间, 我们建议您使用交错的方法在用户较少的位置上安装内容。您可以在较少的关键位置和/或较少用户的环境中自动安装内容, 但您应该为其他拥有更多用户或具有更关键应用程序或 IT 基础结构的位置使用 "阈值" 选项。

 

场景 2: 我有任务关键型应用程序, 我有资源创建一个专用的暂存或测试环境

 

在安装内容发布并在生产环境中进行安全规则更新之前, 您需要广泛测试已修改的和新的应用程序 ID 在网络上的影响。请执行以下步骤。

 

当然, 作为第一步, 学习发行说明以了解这些变化。

 

第二步是查看这些更改对网络通信量的影响。为此, 您需要一个临时环境, 您可以在不影响生产流量的情况下测试更改。创建临时环境有两个选项。

 

选项 1: 使用测试客户端模拟临时环境中的生产流量

 

临时环境至少必须包含所有关键应用程序, 以便您可以运行新的内容发布并了解对这些关键应用程序的影响。为此, 请设置环境, 执行测试并分析结果, 如下所示。

 

设置环境

 

• 设置测试防火墙 (这可以是硬件或虚拟防火墙)。这必须模拟生产防火墙的配置。为此, 请在生产防火墙上导出配置, 并将其导入到测试防火墙中。按照泛 OS 管理员指南中 的 "管理配置备份" 中描述的备份和还原功能。 
• 设置测试客户端 (也可以是物理客户端或虚拟机)。这些必须模仿实际客户端的配置。安装客户端使用的必要操作系统和应用程序。或者, 您可以在实验室或开发环境中使用现有客户端。

 

执行测试

 

通过测试防火墙路由所有测试客户端的网络通信量。

 

使用自定义报告捕获通信模式, 如下面的截图所示。此报告捕获每个安全规则下每个应用程序的会话数。在本报告中, 我们使用地址源上的子网筛选器限制了对测试客户端通信量的视图。运行报告并保存结果。有关如何设置、运行和保存报表的详细信息, 请参阅"泛 OS 管理员指南" 中 的 "管理报告" 部分. 

 

 

现在, 在测试防火墙上安装新的内容发布。如果需要, 请根据发行说明中的建议进行安全规则的更改。

 

再次通过测试防火墙路由所有测试客户端的网络通信量。再次运行自定义报告。

 

分析结果

 

在安装新内容版本之前和之后比较自定义报表。如果通信模式相同, 则您已成功完成此步骤。请参阅下面题为 "在您的生产环境中安装和配置新内容发布" 一节。

 

如果交通模式不同, 你还有一些工作要做。请再次参阅新内容发布的发行说明。使用发布说明和测试防火墙上的日志中的信息, 找出通信模式不同的原因。例如, 新的应用程序 id 现在对通信量进行了不同的分类, 因此您需要插入包含新应用程序 id 的新安全规则并允许该通信吗？您可能需要对测试防火墙上的安全规则进行几次更改, 然后重新运行测试, 直到发生下列情况之一:

• 在安装新内容版本之前, 通信模式与模式匹配, 或者
• 您可以确信更改的通信模式是您想要的。

 

后一种情况的示例是, 您决定在安装新内容发布后阻止使用者 Office 365 通信量。

 

选项 2: 使用数据包捕获 (PCAPs) 在您的暂存环境中模拟生产流量

 

此选项适用于不同的部署, 其中防火墙策略因位置而异。由于流量配置文件的不同, 很难配置几个客户端来模拟整个组织中使用的整套应用程序。请执行以下步骤。

 

设置环境

 

• 在每个重要位置, 在高峰时段采取包捕获 (PCAPs)。如果要在帕洛阿尔托网络下一代防火墙上进行数据包捕获, 请参阅 "泛 OS 管理员指南" 中 的 "数据包捕获" 部分。 
• 设置测试防火墙以模拟您的生产防火墙配置, 如上一节所述。由于每个位置的防火墙配置可能不同, 因此可以在测试防火墙上使用不同的安全区域来表示每个位置的防火墙配置。有关详细信息, 请参阅在"泛 OS 管理员指南" 中 使用接口和区域对网络进行分段. 

 

执行测试

 

按照选项1中的说明进行测试, 其区别在于必须使用 PCAPs 将通信发送到防火墙, 而不是使用测试客户端。创建自定义报告以捕获通信模式, 如选项1所述。

 

分析结果

 

同样, 请按照选项1中描述的步骤进行操作。

 

既然您已经测试了测试环境中的通信量并对结果感到满意, 您就可以在生产环境中部署新的内容发布了。

 

方案 3: 您有少量的应用程序 ID 策略, 以及一个小型组织

 

你可能不需要一个广泛的准备或测试阶段。我们建议如下:

 

1. 研究发行说明以了解更改。
2. 在安装内容发布之前, 请检查对新应用程序 id 的策略影响, 并对任何必要的策略更新进行分级。这使您可以评估应用程序在安装新内容之前和之后接收的处理, 然后准备任何相关的策略更新, 以便在安装内容发布的同时生效。为此, 请使用在 PAN OS 7.0 中介绍的新内容版本的 "策略影响审查" 功能。  此功能包括使用挂起的应用程序 id 修改现有安全策略的功能。挂起的应用程序 id 是下载内容发布中包含的应用程序签名 (在安装新内容之前)。按照泛 OS 管理员指南使用此功能:https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/app-id/manage-new-app-ids-introduced-in-content-releases  

 

问题: 我如何知道每个内容发布中都有什么？

 有3种方法可以查看每种内容的发布。

 

1。通过电子邮件获得通知

 

• 访问https://support.paloaltonetworks.com
• 登录或注册
• 单击您的用户名 > 编辑配置文件
• 选中 "订阅内容更新电子邮件" 旁边的复选框。见下面的图1。
• 在发布新内容更新时, 您现在将收到电子邮件。

 

 

2。阅读支持门户上的发行说明

 

• 访问帕洛阿尔托网络支持门户网站上的内容发布 (动态更新) 发行说明: https://support.paloaltonetworks.com/Updates/DynamicUpdates/
• 登录或注册
• 单击您需要的内容发布版本的发行说明, 如下面的图2所示。

 

3。阅读您的 PAN OS 管理界面上的发行说明

 

• 登录到您的 PAN OS 管理界面。
• 转到设备 > 动态更新。
• 单击文档下的 "发行说明", 如下面的图3所示。

 

问题: 我看到发行说明了。我怎样才能理解他们？

 

发行说明被组织到以下各节中。

 

说明

 

 

本节包括有关发布的一般说明, 例如此内容发布中引入的应用程序 id 的类型。

 

此外, 它还列出了可能影响现有策略的更改, 例如, 新的 URL 筛选类别。对于这些更改, 它提供了建议的策略修改以利用更改。

 

新应用 (n)

 

 

• 什么是新的应用程序？本节显示了在这个内容发布中引入的新的应用程序 id, "n" 是新的应用程序 id 的数目. 该列取决于可能需要一些解释, 最好的解释方法是使用一个示例. 新的应用程序 id松弛文件传输取决于现有的应用程序 id时差. 这意味着必须为新的应用程序 id 启用应用程序 id 松弛功能才能工作. 如果新的应用程序 ID 由于某种原因而无法正常工作, 则此信息有助于解决问题。先前标识的列显示了在此内容发布之前如何标识应用程序. 让我们在这里再举一个例子。例如, 在此内容发布之前, 8x8 的任何通信都被识别为网络浏览、ssl、rtmpt、sip、叽叽喳喳和 rtmp 的混合.
• 这对你意味着什么？在最后一个示例中, 随着新内容更新, 通信量将被标识为8x8 , 而不是web 浏览、ssl等. 如果没有8x8 的安全规则, 则此通信量可能会根据默认的拒绝规则而被阻止. 因此,将8x8 的新应用程序 ID添加到安全规则中, 以避免对此应用程序通信的任何中断. PAN OS 7.0 引入了 "内容更新控制" 功能, 帮助客户管理新的应用程序 id。有关此功能的更多详细信息, 请查看: https://www.paloaltonetworks.com/documentation/71/pan-os/pan-os/app-id/manage-new-app-ids-introduced-in-content-releases 

 

修改后的应用程序 (n)

 

 

• 什么是修改后的应用程序？修改后的应用程序是一个应用程序 ID 签名, 它的准确性得到了改进。这样的更改可以通过多种原因进行, 例如功能更改、新版本或跨不同平台的增强覆盖率。
• 这对你来说意味着什么？后果取决于您的用例对应用程序和修改的程度。在许多情况下, 修改不会影响网络通信量, 因为这些更改会影响应用程序的其他版本、未使用的操作环境或尚未广泛部署的应用程序功能。如果修改后的应用程序 id 引入了显著的覆盖率改进, 则与以前的内容发布相比, 应用程序可能被识别为不同的应用程序 id。在大多数情况下, 通过将应用程序流量从修改后的应用程序 ID 的父应用程序中分离出来, 提高了应用程序覆盖率。例如, 在图4的 "修改后的应用程序" 部分中显示了 SOAP 应用程序。soap 的父应用程序或它 "依赖" 的应用程序是 web 浏览, 这是在内容版本545之前, 大多数 SOAP 通信都被归因于的应用程序 ID。因此, 应该根据影响网络中关键服务的 web 浏览策略来评估 SOAP 应用程序 ID。当关键应用程序被内容更新修改时, 使用相同的过程。在许多情况下, 通过使用允许通过单个配置更改更新许多安全规则的应用程序组, 可以大大简化此策略更新过程。

 

修正解码器 (n)

 

 

• 什么是新的解码器？解码器是常用的基础结构元素, 用于基于应用程序 ID 的通信分类以及威胁签名匹配。本节显示在该内容发行版中修改的解码器, "n" 是修改后的解码器的数目。
• 这对你意味着什么？此信息是消息性的。由于应用程序 id 和 ips 签名共享一个通用的基础结构, 所以应用程序 id 通常会因为 IPS 签名中需要更改而更改。 

 

问: 如何在即将发布的内容版本中获得早期可见性, 以便我可以更好地计划？

 

与我们的客户合作, 我们采取了早期通知的策略, 内容发布更新可能需要更改您的安全策略。当应用程序 ID 的依赖项发生更改或签名增强导致覆盖率发生重大更改时, 可能会发生这种情况。此类更新对于与快速变化的应用程序和应用程序功能保持同步是必要的。

 

为了让您了解我们的流程, 我们每周进行一次内部审查, 检查任何重大的应用程序 ID 更改, 以确定它们是否符合上述早期通知标准。如果答案是肯定的, 我们将在两个版本中描述即将发生的变化-发行说明和帕洛阿尔托网络直播社区。对于异常重要的更改, 我们还会在实际更改前4周添加占位符应用程序 id 和解码器。这使您可以在更改之前在安全规则中添加这些占位符。

 

发行说明的备注部分

 

发行说明中的 "备注" 部分提到了此类将来的更新。我们还提供有关防火墙配置所需操作的指导。以下是2016年7月8日的内容发布597中包含的此类早期通知的示例。由于我们认为这是一个异常重大的变化, 我们不仅描述了即将到来的变化, 而且还包括占位符应用程序 id 和解码器。

 

此内容更新包括占位符应用程序 id ("office365-enterprise-access" 和 "office365-consumer-access") 和占位符解码上下文 "http-必需-ms-子域", 用于在自定义应用程序签名下进行模式匹配。在此更新过程中, 这些应用程序 id 和解码上下文严格地作为占位符提供, 以帮助策略迁移, 并且不会影响任何现有的应用程序 ID 策略。

 

帕洛阿尔托网络强烈鼓励客户按照 https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949 的帕洛阿尔托网络社区的常见问题 , 了解有关此更改的更多信息。及其对现有防火墙策略的影响。

 

2016年8月29日的一周, 帕洛阿尔托网络计划在功能上启用这些应用程序 id 和解码上下文, 旨在通过为 Microsoft Office 365 提供访问控制来增强现有 Office 365 应用程序 id 功能。

 

帕洛阿尔托网络直播社区

 

帕洛阿尔托网络居住社区包含频繁地被询问的问题、录影和文章以用例例子。这有助于您了解帕洛阿尔托网络下一代防火墙可能需要的配置更改。下面是一个此类通知的示例:

 

https://live.paloaltonetworks.com/t5/Management-Articles/FAQ-Office-365-Access-Control/ta-p/94949

 

由于 Live 社区是交互式的, 它允许您张贴评论和询问其他客户和帕洛阿尔托网络员工的问题。

 

问题: 如果事情还是出问题了怎么办？

 

您遵循了最佳做法, 但是由于错误或被忽略的内容, 或者对临时环境测试结果的错误分析, 生产通信以无意的方式被允许或阻止。

 

在这样一个不太可能发生的事件中, 特别是在阻塞业务关键型通信和时间的情况下, 请转到 PAN OS 管理界面, 然后导航到设备 > 动态更新 >> 恢复, 如下面的截图所示。单击还原链接将恢复到以前安装的版本。

引用

 

• 技术文档
• 帕洛阿尔托网络支持门户网站
• 帕洛阿尔托网络直播社区