Tipps & Tricks: Outbound-Verbindungen von Palo Alto-Geräten

Tipps & Tricks: Outbound-Verbindungen von Palo Alto-Geräten

38436
Created On 09/25/18 19:05 PM - Last Modified 01/16/20 21:28 PM


Resolution


Bei der Betrachtung eines Firewall-Systems denken die meisten Administratoren über den Traffic nach, der aus dem LAN-Netzwerk kommt, das ins Internet oder in einen DMZ-Bereich geht, und einige Verbindungen, die aus dem Internet zu einem Webserver oder Mail-Server im Rechenzentrum des Unternehmens kommen. Verbindungen zur Firewall selbst werden in der Regel nur im Hinblick auf das Management betrachtet.

 

In den Tipps & Tricks dieser Woche werden wir einen Blick darauf werfen, welche Art von Traffic von der Firewall kommen könnte und wie wir sicherstellen können, dass alles reibungslos läuft, ohne die Sicherheit zu beeinträchtigen.

 

Unter der Annahme, dass alle möglichen Lizenzen auf die Firewall angewendet werden und alle Updates konfiguriert werden, um automatisch heruntergeladen werden:

2015-09 -22 _13-21 -02. png

 

Mehrere ausgehende Verbindungen, die von der Managementschnittstelle stammen, müssen in der Lage sein, das Internet zu erreichen. Die Firewall muss Updates herunterladen, neue AV-Signaturen erhalten, URLs für eine entsprechende Kategorie überprüfen und eine Vielzahl anderer Aktivitäten durchführen.

 

AusgehEnde Verbindungen werden alle Web-Browsing und SSL-Sessions sein, die für mehrere verschiedene URLs bestimmt sind, je nachdem, welche Inhalte auf-oder heruntergeladen werden.

 

  • Updates.paloaltonetworks.com und Downloads.paloaltonetworks.com werden für AV, APP-ID, Content und PAN-OS-Updates verwendet.
  • Wildfire.paloaltonetworks.com wird für die Aktualisierung von WildFire-Inhalten und das Hochladen von Dateien zur Analyse verwendet.
  • urlcloud.paloaltonetworks.com und Service.brightcloud.com werden für URL-Lookups und Base-DB-Download verwendet.

 

Die obigen URLs sind jedoch die wichtigsten URLs, die die Firewall auf eine regional basierte Subdomain (s0100.urlcloud.paloaltonetworks.com, EU-West-1.Wildfire.paloaltonetworks.com und so weiter) umleiten. 

 

Wenn Sie eine Liste aller regionalen URLs sammeln können, die Ihrem Gerät entsprechen, können Sie ein URL-Filter Profil aktivieren, um diese Verbindungen zu ermöglichen, aber das ist ziemlich umständlich, so dass wir mehrere Anwendungen in einer Sicherheitsrichtlinie verwendet haben, um etwas einfacher.

 

  • Pan-DB-Cloud ermöglicht ausgehende Verbindungen zu allen URLs und suburls, die für den Betrieb von URL-Filtern erforderlich sind.
  • brightcloud ermöglicht die gleiche Funktionalität, wenn die Brightcloud-URL-Filterdatenbank verwendet wird.
  • paloalto-Updates ermöglicht das Abrufen aller apps, Bedrohungen und Inhalte, Pan-OS-Updates, globalprotect-Software und Updates.
  • paloalto-Wildfire-Cloud ermöglicht das Herunterladen von Wildfire-Content-Updates und das Hochladen von Dateien in die Cloud zur Inspektion.

 

Die Anwendungen ermöglichen eine einfache Sicherheitspolitik, so dass alle Dienste Updates oder Dateien erhalten können, die zur Analyse in die Cloud hochgeladen wurden, im Falle von Lauffeuer.

2015-09 -22 _13-52 -42. png

 

In einigen Fällen kann die Management-Schnittstelle nicht mit dem lokalen LAN verbunden sein oder sich in einem out-Band-Netzwerk ohne Internet Zugang befinden. Um wichtige Updates auf das System zu installieren, ohne dass der Administrator diese Aufgaben manuell ausführen muss, erstellen Sie für jeden Dienst eine Service-Route.

 

EINE Service-Route ist eine interne Route von der Managementebene, die das innere Rückgrat durchquert, auf die dataplane, wo Sie an eine interne oder externe Schnittstelle gebunden werden kann. Wenn eine Service-Route an eine interne Schnittstelle gebunden ist, können die oben genannten Sicherheitsrichtlinien immer noch verwendet werden, um APP-ID auf ausgehenden Verbindungen zu steuern und auszuführen, und wenn gewünscht, auch AV und Content-Scannen.

 

Wenn die Service-Route an die externe Schnittstelle gebunden ist, dürfen sich die Dienste mit ihren jeweiligen Palo Alto Networks Cloud-Diensten verbinden, ohne dass eine weitere Konfiguration der Sicherheitsrichtlinien erforderlich ist. Wenn die Service-Route an die externe Schnittstelle gebunden ist, ist die Verbindung einfach erlaubt, sich mit den Cloud-Diensten von Palo Alto Networks zu verbinden, ohne dass eine weitere Konfiguration der Sicherheitsrichtlinien erforderlich ist.

 

2015-09 -22 _13-19 -45. png

 

Ich hoffe, Sie haben die Tipps & Tricks dieser Woche genossen. Wie immer werden Kommentare und Anregungen in der Rubrik unten begrüßt.

 

Tom Piens

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClU6CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language