DotW: ports utilisés par le serveur de mise à jour

Dans la discussion de cette semaine de la semaine, nous prenons un coup d'oeil à un piège que les nouveaux utilisateurs pourraient éprouver en effectuant des tâches de maintenance sur leur pare-feu de réseaux de Palo Alto et essayant de mettre à jour des informations de licence ou pour récupérer le firmware ou les mises à jour de contenu.

Quelques considérations lors de la configuration et de la connexion de l'interface de gestion à un réseau, certains services nécessitent une connexion Internet pour fonctionner correctement.

Par défaut, toutes les opérations initialisées par la gestion proviennent de l'interface de gestion, qui possède sa propre configuration de routage, indépendamment du dataplane.

Pour être en mesure d'atteindre, par exemple, updates.paloaltonetworks.com, l'interface de gestion du pare-feu devra prendre la même route tout autre hôte réseau prend pour accéder à l'Internet. Le pare-feu peut avoir besoin d'être en mesure d'atteindre un serveur DNS Internet (UDP/53) pour résoudre le nom d'hôte, et être autorisé SSL sortant (TCP/443) pour atteindre le serveur et récupérer les informations de licence ou de télécharger une image logicielle.

Si l'interface de gestion est connectée à un réseau OOB (hors bande), cela pourrait empêcher l'interface de gestion de se connecter à Internet et de récupérer les mises à jour nécessaires. Pour permettre à l'interface de gestion d'atteindre encore certains services, des itinéraires de service peuvent être configurés pour connecter en interne l'interface de gestion au dataplane pour certaines connexions sortantes:

Vous pouvez suivre la discussion originale ici

N'hésitez pas à laisser un commentaire ci-dessous!

Cordialement,

Tom