Arbeiten mit externen Block Liste (EBL) Formate und Einschränkungen
Resolution
Übersicht
Dynamische Sperrlisten (Objekte > dynamische Sperrlisten), eingeführt in PAN-OS 5.0 ermöglicht extern erstellt Listen von IP-Adressen nicht importiert und als Adressobjekte in Sicherheitsrichtlinien verwendet werden. Dieses Dokument beschreibt Formatierungsregeln zu berücksichtigen, wenn der Text-Datei für eine Liste der IP-Adresse zu erstellen.
Details
Jede Zeile ein EBL (externe Sperrliste) kann eine IP-Adresse, IP-Bereich oder Subnetz (IPv6 wird unterstützt):
- 192.168.20.10/32 zeigt eine IP-Adresse
- 192.168.20.0/24 zeigt das Subnetz
- 192.168.20.40-192.168.20.50 zeigt den IP-Bereich
- 2001:Db8:123:1::1 zeigt auf die IP-Adresse
- 2001:Db8:123:1:: / 64 zeigt das Subnetz
Notizen:
- Mit das Newline-Zeichen (LF) wird jede Zeile ein EBL beendet. Windows-Format (CR-LF) wird nicht unterstützt.
- Blockieren von URLs oder FQDNs dynamisch mit EBL wird derzeit nicht unterstützt.
- Um das letzte Oktett der letzte Ip-Adresse anzeigen in der Liste auf der Firewall, es müssen eine "Rückkehr" nach die letzte Ip-Adresse in der Textdatei.
- Für eine Dienstkonfiguration Strecke fällt der EBL unter die "Palo Alto Updates" Auswahl.
Hilfreiche Befehle:
- Anzeige der EBL auf der CLI:
> Anfrage Systemnamen extern-Liste zeigen<object name=""></object>
- Die CLI eine Aktualisierung des EBL anfordern:
> Anfrage Systemnamen extern-Liste aktualisieren<object name=""></object>
- Anzeigen des Status einer EBL-Aktualisierung:
> Arbeitsplätze Id anzeigen<job id=""></job>
Weitere Informationen:
Die folgenden Fehler (von ihren jeweiligen Befehle) können auf der CLI gesehen werden:
> Anfrage System externe-Liste Anzeigenname <object name="">
Server Fehler: externe Liste Datei nicht gefunden. </object>
oder
> Jobs ID anzeigen <value> (wo <value>ist ein EBL-Refresh-Job) kann den Fehler zurückgeben:
Warnungen:
EBL (vsys1/Test) nicht in der Lage, externe Liste zu holen. </value> </value> Mit altem Exemplar für Refresh.
Die oben aufgeführten Fehler deuten darauf hin, dass das Problem mit dem Webserver möglicherweise, die IP-Adressliste hostet. Jedoch in vielen Fällen die konnten erfolgreich abgerufen werden ("Quell-URL kann zugegriffen werden" beim Testen in der GUI), aber die Palo Alto Networks-Gerät war nicht in der Lage, es zu lesen. Stellen Sie sicher, dass die Quell-Adresse in eine .txt-Datei auf eine HTTP/HTTPS-Url verweist.
Zum Beispiel: https://www.example.com/blocklist.txt
Bitte stellen Sie sicher, dass eine HTTPS-Lage auf PAN-OS 5.0.10 oder höher. Wenn eine frühere Version ausgeführt wird, kann die Option "Test-URL" in der GUI einen Fehler zurückgeben, auch wenn es richtig funktioniert.
Hinweis: um die Liste auf der Firewall zu sehen, muss die DBL in einer Richtlinie verwendet werden.
Der Fehler kann auch auftreten, wenn die Sicherheitsregel nicht mit einer dynamischen Blockierliste konfiguriert ist oder wenn das Ziel Vsys in Multi-Vsys System nicht festgelegt ist.
- Um eine dynamische Blockliste auf eine Sicherheitsregel anzuwenden, sehen Sie das folgende Beispiel:
die Aktion sollte auf "blockieren" statt auf "erlauben" für die Regel mit dem EBL-Objekt als Ziel gesetzt werden. - Um das Ziel Vsys festzulegen:
> Systemeinstellung Ziel Vsys festlegen<vsys1></vsys1>
Wenn die EBL (nicht freigegebene EBL) Panorama erstellt wird, sollte dann sein auf einer Pre-Regel angewendet und auf dem verwalteten Gerät mit mehreren Vsys geschoben.
Anmerkung 1: die Service-Route "Palo Alto Updates" wird sich auch auf die EBLS auswirken.
Anmerkung 2: vor Pan-OS 6,1 werden Zeilen mit Kommentaren, wenn Sie auf die Sicherheitsrichtlinien angewendet werden, verwendet. 6.1 und oben richtig anzuwenden Linien mit Kommentaren, die in ihnen enthalten.
Beispiel:
#test dbl
1.2.3.4
10.10.10.10
10.11.12.13 Testingcommentsread hier
10.12.12.14 #testingcommentsread hier
> zeigen Sie die Laufsicherheit-Politik
Testdbl {
von Trust-L3;
Quelle Any;
Quelle-Region keine;
zu unvertrauen-L3;
Ziel [1.2.3.4 10.10.10.10];
Ziel-Region None;
Benutzer Any;
Kategorie Any;
Anwendung/ Service Any/Any/Any/any;
Aktion erlauben;
Terminal ja;
}
Hinweis: Wenn andere Fehler angezeigt werden, wenn die EBL erfrischend ist, kann der Management-Server-Debug eingeschaltet werden und ms. Log kann befolgt werden. Wenn ein Problem mit dem Format der EBL-Liste vorliegt, wird es deutlich in der ms.log vermerkt. Im folgenden zeigt Beispiel ms.log Datei-Einträge:
Feb 15 12:43:21 EBL-Eintrag (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/Test, 1,0) Refresh Job annulliert
Feb 15 12:43:21 EBL-Eintrag (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/Test, 1,0) EBL Refresh joberfolg
Feb 15 12:43:21 EBL ALLOC Free Timer (0xdbfbecb0, 1356)
Feb 15 12:43:21 EBL-Eintrag (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/Test, 1,0) Freigabe EBL
Feb 15 12:43:21 EBL ALLOC Einheitsgröße (0xe0b6ac60 1196)
Maximale Anzahl von externen Sperrlisten und Einträge in jede Adressliste:
- Auf PAN-OS 7.0. x und darunter kann jede Plattform maximal 10 externe Blocklisten haben.
- Auf PAN-OS 7.1. x und später kann jede Plattform maximal 30 externe Blocklisten haben.
- Jede Liste kann die maximale Anzahl von Adressen enthalten, die von Ihrem Firewall-Modell minus 300 unterstützt werden .
- Jede EBL zählt als eine Adressobjekt und trägt nicht auf der Plattform maximale Max-IP-Adresse, d.h. wenn die Geräteadresse maximal 5000 ist, kann man 10 EBLs Größe 4700 jedes und 4990 Address-Objekten.
Um zu sehen, was Ihr System hat, bitte geben Sie den folgenden Befehl über die CLI:
Auf einer PA-200 sollte der Befehl und Ausgabe Lool wie folgt:
> Systemstatus anzeigen | cfg.general.max-Adresse
CFG.General.Max-Adresse: 2500
Hier ist ein Diagramm, die Hardware und die maximale Adresseinträge:
Hardware | Maximale Adresseinträge |
PA-200 PA-220 PA-500 PA-820 | 2500 |
PA-850 | 3500 |
PA-3020 | 5000 |
PA-3050 PA-3060 PA-5020 | 10000 |
PA-5050 PA-5220 | 40000 |
PA-5060 PA-5250 PA-5260 PA-7050 | 80000 |
Wenn man PAN-OS 7.0. x und unten auf einer PA-200 läuft, kann es:
- Maximal 10 externe Block Listen
- Maximal 50000 IPS in allen externen Listen zusammen. (1 Liste mit 50000 IPs oder 10 Listen mit beiden 5000 IPs werden unterstützt)
Wenn Sie mehr als 10 EBLs in einem Gerät verwenden, sehen Sie die folgende Fehlermeldung während Commit:
Mehr als die maximale Anzahl an unterstützten externen Sperrlisten (10)
Hinweis: Wenn Sie geteilte EBL-Objekte vom Panorama auf ein Gerät drücken, das mehrere Vsys aktiviert hat, können Sie auf ein Problem stoßen, bei dem jedes EBL einmal pro Vsys gezählt wird. Zum Beispiel, wenn Sie 10 Vsys #1 spezifische EBLs erstellt haben, und dann weitere 10 Vsys #2 spezifische EBLs, wird der Push auf die Firewall scheitern, da er die 10 externe Block Listen Grenze von PAN-OS 7.0. x und darunter überschreitet. Dies war ein Problem, das eine architektonische Änderung PAN-OS 7.1 behoben hat.
Wenn die Anzahl der entried die Gesamtzahl der Kapazität überschreiten, sehen Sie den folgenden Fehler im System-Logs:
EBL (<ebl-name>) Überschreitung der Höchstzahl der ips bei Linie XXXX</ebl-name>