Travailler avec les Limitations et externes bloquer les Formats de liste (EBL)
Resolution
Vue d’ensemble
Listes dynamiques de Block (objets > listes dynamiques de Block), introduite en PAN-OS 5.0, permet l’extérieur créé des listes d’adresses IP à être importées et utilisées en tant qu’objets adresse aux politiques de sécurité. Ce document décrit les règles de mise en forme à considérer lorsque vous créez le fichier texte pour une liste d’adresses IP.
Détails
Chaque ligne d’un EBL (liste de bloc externe) peut être une adresse IP, plage d’adresses IP ou sous-réseau (IPv6 est pris en charge) :
- 192.168.20.10/32 indique une adresse IP
- 192.168.20.0/24 indique le sous-réseau
- 192.168.20.40-192.168.20.50 indique la plage d’adresses IP
- 2001:DB8:123:1::1 indique sur l’adresse IP
- 2001:DB8:123:1 :: / 64 indique le sous-réseau
Notes:
- Chaque ligne d’un EBL se termine par le caractère de saut de ligne (LF). Format Windows (CR-LF) n’est pas pris en charge.
- Blocage des URL ou des noms de domaine complets dynamiquement à l’aide d’EBL n'est pas actuellement pris en charge.
- Pour afficher le dernier octet de la dernière adresse ip dans la liste sur le pare-feu, il doit être un « retour » après la dernière adresse ip dans le fichier texte.
- Pour une configuration de voie de service, l’EBL relève de la sélection « Palo Alto Updates ».
Commandes utiles :
- Affichez l’EBL sur le CLI :
> nom de système demande de voir la liste externe<object name=""></object>
- Demander une actualisation EBL de la CLI :
> nom demande de rafraîchissement externe-liste système<object name=""></object>
- Afficher l’état d’une actualisation de l’EBL :
> présenter carte d’emplois<job id=""></job>
Informations complémentaires :
Les erreurs suivantes (à partir de leurs commandes respectives) peuvent être vu sur la CLI :
> demande système externe-liste Afficher nom <object name="">
Erreur du serveur: fichier de liste externe introuvable. </object>
ou
> Show Jobs ID <value> (où <value>est un travail d'actualisation EBL) peut retourner l'erreur:
Avertissements:
EBL (vsys1/test) impossible d'extraire la liste externe. </value> </value> Utilisation de l'ancienne copie pour refresh.
Les erreurs ci-dessus donnent à penser que le problème peut être avec le serveur web qui héberge la liste d’adresses IP. Toutefois, dans de nombreux cas, la liste a été récupérée avec succès (« URL de la Source est accessible » lors du test dans l’interface graphique), mais le dispositif de Palo Alto Networks n’était pas capable de le lire. Vérifiez que l’adresse source pointe sur un fichier .txt sur une url HTTP/HTTPS.
Par exemple: https://www.example.com/blocklist.txt
S’il vous plaît assurez-vous qu'un emplacement HTTPS est sur PAN-OS 5.0.10 ou supérieur. Si l’exécutant une version antérieure, l’option URL de Test dans l’interface utilisateur peut renvoyer une erreur, même si elle ne fonctionne pas correctement.
Remarque: pour afficher la liste sur le pare-feu, la LDM doit être utilisée dans une stratégie.
L’erreur peut apparaître si la règle de sécurité n’est pas configurée avec une liste de blocage dynamique ou si le vsys cible n’est pas définie dans le système de multi-vsys.
- Pour appliquer une liste de blocage dynamique à une règle de sécurité, consultez L'exemple suivant:
l'action doit être définie sur «Block» au lieu de «allow» pour la règle avec l'OBJET EBL comme destination. - Pour définir la cible vsys :
> définir le paramètre cible-vsys système<vsys1></vsys1>
Si l’EBL (EBL non partagé) est créé le Panorama, elle devrait être appliquée à une règle avant et poussé vers le périphérique géré avec vsys multiples.
Note 1: la route de service «mises à jour de Palo Alto» affectera également le EBLs.
Note 2: avant Pan-OS 6,1, les lignes avec commentaires seront omis lorsqu'elles sont appliquées à la stratégie de sécurité. 6.1 et ci-dessus s’appliqueront correctement lignes avec commentaires inclus dans eux.
Exemple:
#test dbl
1.2.3.4
10.10.10.10
10.11.12.13 testingcommentsread ici
10.12.12.14 #testingcommentsread ici
> afficher l'exécution de la stratégie de sécurité
TestDBL {
de Trust-L3;
source Any;
source-région None;
à Untrust-L3;
destination [1.2.3.4 10.10.10.10];
Destination-région None;
utilisateur Any;
catégorie Any;
application/ service any/any/any/any;
action autoriser;
borne Oui;
}
Remarque: si d'autres erreurs sont affichées lors de l'actualisation du EBL, le serveur d'administration Debug peut être activé et ms. log peut être suivi. S’il y a un problème avec le format de la liste d’EBL, on notera clairement dans la ms.log. L’exemple suivant illustre exemple ms.log entrées du fichier :
15 fév 12:43 :21 entrée EBL (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1,0) Refresh Job annulé
fév 15 12:43:21 entrée EBL (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1,0) EBL actualiser le succès du travail
fév 15 12:43:21 EBL ALLOC Free Timer (0xdbfbecb0, 1356)
fév 15 12:43:21 entrée EBL (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1,0) libération EBL
fév 15 12:43:21 taille libre EBL ALLOC (0xe0b6ac60 1196)
Nombre maximum de listes externes de bloc et d’entrées dans chaque liste d’adresses :
- Sur PAN-OS 7.0. x et ci-dessous, chaque plate-forme peut avoir un maximum de 10 listes de blocs externes.
- Sur Pan-OS 7.1. x et versions ultérieures, chaque plate-forme peut avoir un maximum de 30 listes de blocs externes.
- Chaque liste peut contenir le nombre maximal d'adresses pris en charge par votre modèle de pare-feu moins 300.
- Chaque EBL est compté comme objet une seule adresse et ne contribue pas vers la plate-forme maximum pour max-adresse, c'est-à-dire si l’adresse du périphérique maximale est de 5000, vous pouvez avoir 10 EBLs de dimension 4700 4990 autres adresse-objets et chacun.
Pour savoir ce que votre système doit, s’il vous plaît entrez la commande suivante via la CLI :
Un PA-200 la commande et la sortie devraient lool comme ceci :
> Afficher l’état du système | correspond à cfg.general.max-adresse
cfg.General.Max-adresse : 2500
Voici un graphique montrant le matériel et les entrées d’adresses maximum :
Matériel | Entrées d’adresses maximum |
PA-200 PA-220 PA-500 PA-820 | 2500 |
PA-850 | 3500 |
PA-3020 | 5000 |
PA-3050 PA-3060 PA-5020 | 10000 |
PA-5050 PA-5220 | 40000 |
PA-5060 PA-5250 PA-5260 PA-7050 | 80000 |
Lors de l'exécution de PAN-OS 7.0. x et ci-dessous sur un PA-200, il peut avoir:
- UN maximum de 10 listes de blocs externes
- Un maximum de 50000 IPS dans toutes les listes externes combinées. (1 avec 50000 IPs ou les 10 listes avec 5000 IPs les deux sont pris en charge)
Si vous utilisez plus de 10 EBLs dans un appareil, vous verrez le message d’erreur suivant au cours de la validation :
Dépassant le nombre maximum de listes externes pris en charge (10)
Remarque: si vous poussez des objets EBL partagés de panorama vers un périphérique avec plusieurs VSys activés, vous pouvez exécuter un problème où chaque EBL est compté une fois par VSys. Par exemple, si vous avez créé 10 VSys #1 EBLs spécifique, puis un autre 10 VSys #2 EBLs spécifique, la poussée vers le pare-feu échouera car elle dépasse la limite de 10 listes de blocage externe de Pan-OS 7.0. x et ci-dessous. Il s’agissait d’un problème dans lequel un changement architectural a résolu en PAN-OS 7.1.
Si le nombre de Ceres excède le nombre total de capacité, vous pouvez voir l’erreur suivante dans les logs du système :
EBL (<ebl-name>) dépasse le nombre maximal d’adresses IP à la ligne XXXX</ebl-name>