Arbeiten mit externen Block Liste (EBL) Formate und Einschränkungen

Arbeiten mit externen Block Liste (EBL) Formate und Einschränkungen

138928
Created On 09/25/18 19:20 PM - Last Modified 06/12/23 20:52 PM


Resolution


 

Übersicht

Dynamische Sperrlisten (Objekte > dynamische Sperrlisten), eingeführt in PAN-OS 5.0 ermöglicht extern erstellt Listen von IP-Adressen nicht importiert und als Adressobjekte in Sicherheitsrichtlinien verwendet werden. Dieses Dokument beschreibt Formatierungsregeln zu berücksichtigen, wenn der Text-Datei für eine Liste der IP-Adresse zu erstellen.

 

Details

Jede Zeile ein EBL (externe Sperrliste) kann eine IP-Adresse, IP-Bereich oder Subnetz (IPv6 wird unterstützt):

  • 192.168.20.10/32 zeigt eine IP-Adresse
  • 192.168.20.0/24 zeigt das Subnetz
  • 192.168.20.40-192.168.20.50 zeigt den IP-Bereich
  • 2001:Db8:123:1::1 zeigt auf die IP-Adresse
  • 2001:Db8:123:1:: / 64 zeigt das Subnetz

Notizen:

  • Mit das Newline-Zeichen (LF) wird jede Zeile ein EBL beendet. Windows-Format (CR-LF) wird nicht unterstützt.
  • Blockieren von URLs oder FQDNs dynamisch mit EBL wird derzeit nicht unterstützt.
  • Um das letzte Oktett der letzte Ip-Adresse anzeigen in der Liste auf der Firewall, es müssen eine "Rückkehr" nach die letzte Ip-Adresse in der Textdatei.
  • Für eine Dienstkonfiguration Strecke fällt der EBL unter die "Palo Alto Updates" Auswahl.

 

Hilfreiche Befehle:

  • Anzeige der EBL auf der CLI:

    > Anfrage Systemnamen extern-Liste zeigen<object name=""></object>

 

  • Die CLI eine Aktualisierung des EBL anfordern:

    > Anfrage Systemnamen extern-Liste aktualisieren<object name=""></object>

 

  • Anzeigen des Status einer EBL-Aktualisierung:

    > Arbeitsplätze Id anzeigen<job id=""></job>

 

Weitere Informationen:

Die folgenden Fehler (von ihren jeweiligen Befehle) können auf der CLI gesehen werden:

> Anfrage System externe-Liste Anzeigenname <object name="">
Server Fehler: externe Liste Datei nicht gefunden. </object>

 

oder

> Jobs ID anzeigen <value> (wo <value>ist ein EBL-Refresh-Job) kann den Fehler zurückgeben:
Warnungen:
EBL (vsys1/Test) nicht in der Lage, externe Liste zu holen. </value>   </value> Mit altem Exemplar für Refresh.

 

Die oben aufgeführten Fehler deuten darauf hin, dass das Problem mit dem Webserver möglicherweise, die IP-Adressliste hostet. Jedoch in vielen Fällen die konnten erfolgreich abgerufen werden ("Quell-URL kann zugegriffen werden" beim Testen in der GUI), aber die Palo Alto Networks-Gerät war nicht in der Lage, es zu lesen. Stellen Sie sicher, dass die Quell-Adresse in eine .txt-Datei auf eine HTTP/HTTPS-Url verweist.

Zum Beispiel: https://www.example.com/blocklist.txt

 

Bitte stellen Sie sicher, dass eine HTTPS-Lage auf PAN-OS 5.0.10 oder höher. Wenn eine frühere Version ausgeführt wird, kann die Option "Test-URL" in der GUI einen Fehler zurückgeben, auch wenn es richtig funktioniert.

Hinweis: um die Liste auf der Firewall zu sehen, muss die DBL in einer Richtlinie verwendet werden.

 

Der Fehler kann auch auftreten, wenn die Sicherheitsregel nicht mit einer dynamischen Blockierliste konfiguriert ist oder wenn das Ziel Vsys in Multi-Vsys System nicht festgelegt ist.

  • Um eine dynamische Blockliste auf eine Sicherheitsregel anzuwenden, sehen Sie das folgende Beispiel:
    eblcorrect.jpg
    die Aktion sollte auf "blockieren" statt auf "erlauben" für die Regel mit dem EBL-Objekt als Ziel gesetzt werden.

  • Um das Ziel Vsys festzulegen:

    > Systemeinstellung Ziel Vsys festlegen<vsys1></vsys1>

 

Wenn die EBL (nicht freigegebene EBL) Panorama erstellt wird, sollte dann sein auf einer Pre-Regel angewendet und auf dem verwalteten Gerät mit mehreren Vsys geschoben.

 

Anmerkung 1: die Service-Route "Palo Alto Updates" wird sich auch auf die EBLS auswirken.

 

Anmerkung 2: vor Pan-OS 6,1 werden Zeilen mit Kommentaren, wenn Sie auf die Sicherheitsrichtlinien angewendet werden, verwendet. 6.1 und oben richtig anzuwenden Linien mit Kommentaren, die in ihnen enthalten.

 

Beispiel:

#test dbl

1.2.3.4

10.10.10.10

10.11.12.13 Testingcommentsread hier

10.12.12.14 #testingcommentsread hier

 

> zeigen Sie die Laufsicherheit-Politik
Testdbl {
von Trust-L3;
Quelle Any;
Quelle-Region keine;
zu unvertrauen-L3;
Ziel [1.2.3.4 10.10.10.10];
Ziel-Region None;
Benutzer Any;
Kategorie Any;
Anwendung/ Service Any/Any/Any/any;
Aktion erlauben;
Terminal ja;
}

 

Hinweis: Wenn andere Fehler angezeigt werden, wenn die EBL erfrischend ist, kann der Management-Server-Debug eingeschaltet werden und ms. Log kann befolgt werden. Wenn ein Problem mit dem Format der EBL-Liste vorliegt, wird es deutlich in der ms.log vermerkt. Im folgenden zeigt Beispiel ms.log Datei-Einträge:

 

Feb 15 12:43:21 EBL-Eintrag (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/Test, 1,0) Refresh Job annulliert
Feb 15 12:43:21 EBL-Eintrag (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/Test, 1,0) EBL Refresh joberfolg
Feb 15 12:43:21 EBL ALLOC Free Timer (0xdbfbecb0, 1356)
Feb 15 12:43:21 EBL-Eintrag (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/Test, 1,0) Freigabe EBL
Feb 15 12:43:21 EBL ALLOC Einheitsgröße (0xe0b6ac60 1196)

 

Maximale Anzahl von externen Sperrlisten und Einträge in jede Adressliste:

 

  • Auf PAN-OS 7.0. x und darunter kann jede Plattform maximal 10 externe Blocklisten haben.
  • Auf PAN-OS 7.1. x und später kann jede Plattform maximal 30 externe Blocklisten haben.
  • Jede Liste kann die maximale Anzahl von Adressen enthalten, die von Ihrem Firewall-Modell minus 300 unterstützt werden .
  • Jede EBL zählt als eine Adressobjekt und trägt nicht auf der Plattform maximale Max-IP-Adresse, d.h. wenn die Geräteadresse maximal 5000 ist, kann man 10 EBLs Größe 4700 jedes und 4990 Address-Objekten.

 

Um zu sehen, was Ihr System hat, bitte geben Sie den folgenden Befehl über die CLI:

 

Auf einer PA-200 sollte der Befehl und Ausgabe Lool wie folgt: 

> Systemstatus anzeigen | cfg.general.max-Adresse


CFG.General.Max-Adresse: 2500

 

Hier ist ein Diagramm, die Hardware und die maximale Adresseinträge:

HardwareMaximale Adresseinträge

PA-200

PA-220

PA-500

PA-820

2500

PA-850

3500

PA-3020

5000

PA-3050

PA-3060

PA-5020

10000

PA-5050

PA-5220

40000

PA-5060

PA-5250

PA-5260

PA-7050

80000

 

 

Wenn man PAN-OS 7.0. x und unten auf einer PA-200 läuft, kann es:

  • Maximal 10 externe Block Listen
  • Maximal 50000 IPS in allen externen Listen zusammen. (1 Liste mit 50000 IPs oder 10 Listen mit beiden 5000 IPs werden unterstützt)

Wenn Sie mehr als 10 EBLs in einem Gerät verwenden, sehen Sie die folgende Fehlermeldung während Commit:

      Mehr als die maximale Anzahl an unterstützten externen Sperrlisten (10)

 

Hinweis: Wenn Sie geteilte EBL-Objekte vom Panorama auf ein Gerät drücken, das mehrere Vsys aktiviert hat, können Sie auf ein Problem stoßen, bei dem jedes EBL einmal pro Vsys gezählt wird. Zum Beispiel, wenn Sie 10 Vsys #1 spezifische EBLs erstellt haben, und dann weitere 10 Vsys #2 spezifische EBLs, wird der Push auf die Firewall scheitern, da er die 10 externe Block Listen Grenze von PAN-OS 7.0. x und darunter überschreitet. Dies war ein Problem, das eine architektonische Änderung PAN-OS 7.1 behoben hat.

 

Wenn die Anzahl der entried die Gesamtzahl der Kapazität überschreiten, sehen Sie den folgenden Fehler im System-Logs:

      EBL (<ebl-name>) Überschreitung der Höchstzahl der ips bei Linie XXXX</ebl-name>

 

 

 

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClVYCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language