外部ブロック リスト (EBL) 形式および制限の使用
Resolution
概要
動的ブロック リスト (オブジェクト > 動的ブロック リスト)、インポートおよびセキュリティ ポリシーのアドレス オブジェクトとして使用する IP アドレスの外部作成可能一覧パン OS 5.0 で導入されました。このドキュメントでは、IP アドレスの一覧のテキスト ファイルを作成するときに考慮する書式指定規則について説明します。
詳細
EBL (外部ブロック リスト) のそれぞれの行は、IP アドレス、ip アドレスの範囲、またはサブネット (IPv6 はサポート)。
- 192.168.20.10/32 は、1 つの IP アドレスを示します
- 192.168.20.0/24 サブネットを示します
- 192.168.20.40-192.168.20.50 は、IP 範囲を示します
- 2001:db8:123:1::1 の IP アドレスを示します
- 2001:db8:123:1::/64 サブネットを示します
注:
- EBL の各行は改行文字 (LF) で終了します。Windows 形式 (CR LF) はサポートされていません。
- Url または Fqdn EBL を使って動的にブロックは現在サポートされていません。
- ファイアウォールで、そこのリストの最後の ip アドレスの最後のオクテットを表示するには、テキスト ファイルの最後の ip アドレスの後に「リターン」する必要があります。
- サービス ルート構成で、EBL 'パロ ・ アルト更新' 選択に該当します。
有用なコマンド:
- CLI の EBL の表示:
> 要求システム外部リストの表示名<object name=""></object>
- CLI から EBL 更新を要求します。
> 要求システム外部リストの更新名<object name=""></object>
- EBL 更新の状態を表示します。
> ジョブ id を表示<job id=""></job>
追加情報:
(それぞれコマンド) から次のエラーは、CLI 上見られるかもしれない。
> 要求システム外部リスト表示ネーム<object name="">
サーバエラー: 外部リストファイルが見つかりません 。</object>
または
> ジョブ id <value>の表示 ( <value>EBL 更新ジョブ) は、エラーを返すことがあります:
警告:
EBL (vsys1/test) 外部リストをフェッチできません。</value> </value> リフレ sh の古いコピーを使用しています。
上記のエラーは、IP アドレスの一覧をホストする web サーバーで問題がありますをお勧めします。ただし、多くの場合、リスト取得に成功しました (「ソース URL はアクセス可能な」GUI のテストするとき)、パロ ・ アルトのネットワーク デバイスはそれを読むことができませんでしたが。送信元アドレスが HTTP/HTTPS url に .txt ファイルを指していることを確認します。
例: https://www.example.com/blocklist.txt
HTTPS ロケーションはパン-OS 5.0.10 以上してください。以前のバージョンを実行中の場合、GUI で URL のテスト オプションは正常に動作がエラーを返すことがあります。
注:ファイアウォールの一覧を表示するには、ダブルのポリシーで使用する必要があります。
ダイナミック ブロックのリストにセキュリティの規則を構成していない場合ターゲット vsys マルチ vsys システムで設定されていない場合も、エラーが表示されます。
- 動的ブロックリストをセキュリティルールに適用するには、次の例を参照してください。
EBL オブジェクトをコピー先として使用するルールに対して、アクションを ' Allow ' ではなく ' block ' に設定する必要があります。 - ターゲット vsys を設定: する
> ターゲット vsys の設定システムの設定<vsys1></vsys1>
パノラマに EBL (非共有 EBL) を作成する前の規則に適用され、複数 vsys で管理対象デバイスにプッシュがあるれて必要があります。
注 1: ' パロアルトアップデート ' サービスルートは、EBLs にも影響を与えます。
注 2: PAN-OS 6.1 の前に、コメント付きの行は、セキュリティポリシーに適用されると省略されます。6.1 と上記でそれらに含まれるコメント行が適用されます正しく。
例:
#test dbl
1.2.3.4
10.10.10.10
10.11.12.13 testingcommentsread ここで
10.12.12.14 #testingcommentsread ここで
> 実行中のセキュリティポリシーを表示
する TestDBL {
信頼から l3;
ソース any;
ソース-リージョンなし;
to untrust;
宛先 [1.2.3.4 10.10.10.10];
宛先-リージョンなし;
ユーザー any;
カテゴリ any;
アプリケーション/サービスは、任意の/任意の/任意の;
アクションが許可;
ターミナルはい;
}
注: EBL の更新時に他のエラーが表示された場合は、管理サーバーのデバッグを有効にして、ログ記録をたどることができます。EBL リストのフォーマットに問題がある場合は、ms.log に明確に記録されます。次に示します例 ms.log ファイルのエントリ。
2 月 15 日 12:43。21 EBL エントリ (0xf30a77f0、0xe0b6ac60、0xe210b998 vsys1/テスト、1, 0) リフレッシュジョブは、
2 月 15 12:43をキャンセル:21 EBL エントリ (0xf30a77f0、0xe0b6ac60、0xe210b998 vsys1/テスト、1, 0) EBL 更新ジョブの成功
2 月 15 12:43:21 EBL アロケーションフリータイマ (0xdbfbecb0, 1356)
Feb 15 12:43:21 EBL エントリ (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/テスト, 1, 0) リリース EBL
Feb 15 12:43:21 EBL ALLOC フリーサイズ (0xe0b6ac60 1196)
外部ブロック リストとアドレス各リスト内のエントリの最大数:
- PAN-OS 7.0. x 以降では、各プラットフォームは最大10 個の外部ブロックリストを持つことができます。
- PAN-OS 7.1. x 以降では、各プラットフォームは最大30個の外部ブロックリストを持つことができます。
- 各リストには、ファイアウォールモデルによってサポートされるアドレスの最大数を300を引いた値を含めることができます。
- 各 EBL アドレスを 1 つのオブジェクトとしてカウントされ、最大アドレスの最大のプラットフォームへ寄与しないすなわちデバイスの最大アドレスが 5000 の場合ことができますサイズ 4700 の 10 アシスト各 4990 の他のアドレス オブジェクト。
お使いのシステムが持っているものを参照してください、CLI 経由で次のコマンドを入力してください。
コマンドと出力 PA 200 上このような lool を必要があります。
> システム状態を表示 |cfg.general.max アドレスと一致します。
cfg.general.max アドレス: 2500
ここでは、ハードウェアと最大アドレスのエントリを示すグラフです。
ハードウェア | 最大アドレス エントリ |
PA 200 PA 220 PA 500 PA-820 | 2500 |
PA 850 | 3500 |
PA-3020 | 5000 |
PA-3050 PA-3060 PA-5020 | 10000 |
PA-5050 PA-5220 | 40000 |
PA-5060 PA-5250 PA-5260 PA-7050 | 80000 |
PAN-OS 7.0. x と以下の PA-200 を実行している場合、次のものを持つことができます。
- 最大10 個の外部ブロックリスト
- すべての外部リストで最大5万の IPs を組み合わせた。(50000 IPs や 5000 の ip アドレスが両方サポートされています 10 リスト 1 リスト)
以上 10 アシストをデバイスで使用する場合は、コミット中に次のエラーが表示されます。
サポートされている外部ブロック リスト (10) の最大数を超える
注:共有 EBL オブジェクトをパノラマから複数の Vsys が有効になっているデバイスにプッシュする場合、各 EBL が Vsys ごとに1回カウントされる問題が発生することがあります。たとえば、10個の Vsys #1 特定の EBLs を作成した後、別の 10 Vsys #2 特定の EBLs を生成した場合、ファイアウォールへのプッシュは、PAN-OS 7.0. x 以降の10個の外部ブロックリストの制限を超えるため失敗します。これ建築変更パン OS 7.1 で解決した問題でした。
Entried の数は、合計定員数を超えている場合は、システム ログに次のエラーを見ることができます。
EBL (<ebl-name>) XXXX の行の ip アドレスの最大数を超えた</ebl-name>