DotW: Ports, die vom Update-Server genutzt werden

In der Diskussion der Woche in dieser Woche schauen wir uns eine Fallstricke an, die neue Benutzer bei Wartungsaufgaben auf Ihrer Palo Alto Networks Firewall erleben könnten, und versuchen, Lizenzinformationen zu aktualisieren oder Firmware oder Content-Updates abzurufen.

EIN paar Überlegungen bei der Konfiguration und Anbindung der Management-Schnittstelle an ein Netzwerk — bestimmte Dienste erfordern eine Internetverbindung, um richtig zu funktionieren.

Standardmäßig stammen alle von der Verwaltung initiierten Operationen von der Management-Schnittstelle, die unabhängig vom dataplane eine eigene Routing-Konfiguration hat.

Um zum Beispiel Updates.paloaltonetworks.com erreichen zu können, muss die Managementschnittstelle der Firewall die gleiche Route nehmen, die jeder andere Netzwerk-Host benötigt, um ins Internet zu gelangen. Die Firewall muss möglicherweise in der Lage sein, einen internetbasierten DNS-Server (UDP/53) zu erreichen, um den Hostnamen zu lösen, und es ist erlaubt, SSL (TCP/443) zu erreichen, um den Server zu gelangen und die Lizenzinformationen zu holen oder ein Software-Bild herunterzuladen.

Wenn die Managementschnittstelle mit einem OOB-Netzwerk (Out of Band) verbunden ist, könnte dies verhindern, dass sich die Managementschnittstelle mit dem Internet verbindet und notwendige Updates abruft. Damit die Managementschnittstelle noch für bestimmte Dienste greifen kann, können Service Routen so konfiguriert werden, dass Sie die Managementschnittstelle für bestimmte ausgehende Verbindungen intern mit dem dataplane verbinden:

Die ursprüngliche Diskussion können Sie hier verfolgen

Hier können Sie einen Kommentar hinterlassen!

Viele Grüße,

Tom