提示和技巧: 帕洛阿尔托设备的出站连接

在考虑防火墙系统时, 大多数管理员会考虑从 LAN 网络到 internet 或 DMZ 区域的通信量, 以及从 internet 到公司数据中心的 web 服务器或邮件服务器的一些连接。与防火墙本身的连接通常只在管理方面被考虑。

在本周的提示和窍门中, 我们将看看防火墙会有什么样的流量, 以及如何确保所有事情都顺利运行而不会危及安全性。

假设所有可能的许可证都应用于防火墙, 并且配置为自动下载的所有更新:

来自管理接口的几个出站连接必须能够到达 internet。防火墙需要下载更新、获取新的 AV 签名、检查适当类别的 url, 以及执行许多其他活动。

传出连接将全部是 web 浏览和 SSL 会话, 它们注定要有几个不同的 url, 具体取决于内容的下载。

• updates.paloaltonetworks.com 和 downloads.paloaltonetworks.com 用于 AV、应用程序 ID、内容和 PAN OS 更新。
• wildfire.paloaltonetworks.com 用于野火内容更新和上传文件进行分析。
• urlcloud.paloaltonetworks.com 和 service.brightcloud.com 用于 URL 查找和基 db 下载。

但是, 上面的 url 是将防火墙重定向到基于区域的子域 (s0100.urlcloud.paloaltonetworks.com, 欧盟-西部-1. 野火, paloaltonetworks 等) 的主要 url。 

如果您可以收集适合您的设备的所有区域 url 的列表, 则可以启用 URL 筛选配置文件以允许这些连接, 但这相当麻烦,因此我们提供了几个应用程序, 用于安全策略, 使事情就简单多了.

• 泛 db 云允许对操作 url 筛选所需的所有 url 和 suburls 进行出站连接 .
• 如果使用 brightcloud URL 筛选数据库, brightcloud 允许相同的功能.
• paloalto 更新允许检索所有应用程序、威胁和内容、PAN OS 更新、GlobalProtect 软件和更新.
• paloalto-野火-云允许下载野火内容更新和上传文件到云进行检查.

应用程序启用了简单的安全策略, 因此所有服务都可以接收到云中的更新或文件进行分析, 如野火。

在某些情况下, 管理界面可能没有连接到本地 LAN, 或者处于一个没有互联网访问权限的带外网络中。要在系统上安装重要更新而不需要管理员手动执行这些任务, 请为每个服务创建一个服务路由。

服务路由是从管理平面遍历内部主干的内部路由到 dataplane, 可以将其绑定到内部或外部接口。如果服务路由绑定到内部接口, 则上述安全策略仍可用于控制和执行出站连接上的应用程序 ID, 如果需要, 也可以进行 AV 和内容扫描。

如果服务路由绑定到外部接口, 则允许服务连接到其各自的帕洛阿尔托网络云服务, 而不需要进一步配置安全策略。 如果服务路由绑定到外部接口, 则只允许连接连接到帕洛阿尔托网络云服务, 而不需要进一步配置安全策略。

我希望你喜欢这周的技巧和技巧。正如往常一样, 在下面的部分中欢迎评论和建议。

汤姆各地