使用外部块列表 (EBL) 格式和局限性
Resolution
概述
阻止列表动态 (对象 > 动态阻止列表),介绍了在泛 OS 5.0 中,启用外部创建列表的导入和用作地址对象在安全政策中的 IP 地址。本文档描述格式规则时创建的 IP 地址列表的文本文件要考虑。
详细
EBL (外部块列表) 的每一行可以是 IP 地址、IP 范围或子网 (IPv6 支持):
- 192.168.20.10/32 表示一个 IP 地址
- 192.168.20.0/24 表示子网
- 192.168.20.40-192.168.20.50 表示 ip 地址范围
- 2001:db8:123:1::1 表示在 IP 地址上
- 2001:db8:123:1:: / 64 表示子网
备注:
- EBL 每行终止与换行符 (LF)。不支持 Windows 格式 (CR LF)。
- 目前不支持阻止 Url 或使用动态 EBL 的 Fqdn。
- 为了查看在那里的防火墙上,列表中的最后一个 ip 地址的最后一个八位字节需要"回归"后最后一个 ip 地址在文本文件中。
- 对于服务路由配置,EBL 属于帕洛阿尔托更新选择。
一些有用的命令:
- 显示在 CLI 上 EBL:
> 请求系统外部列表显示名称<object name=""></object>
- 从 CLI 请求 EBL 刷新:
> 请求系统刷新外部列表名称<object name=""></object>
- EBL 刷新状态显示:
> 显示作业 id<job id=""></job>
附加信息:
在 CLI 上,可能出现以下错误 (从他们各自的命令):
>> 请求系统外部列表显示名称<object name="">
服务器错误: 找不到外部列表文件. </object>
或
>> 显示作业 id <value> (在哪里<value>是 EBL 刷新作业) 可能会返回错误:
警告:
EBL (vsys1/测试) 无法获取外部列表. </value> </value> 使用旧副本 refresh.
上面的错误表明问题可能与 web 承载的服务器的 IP 地址列表。然而,在许多情况下,被成功地检索列表 ("源 URL 是可访问的"测试在 GUI 中时),帕洛阿尔托网络设备却不能看懂。验证源地址指向 HTTP/HTTPS 的 url 的.txt 文件。
例如: https://www.example.com/blocklist.txt
请确保 HTTPS 位置是在潘-OS 5.0.10 或更高。如果运行的是早期版本,在 GUI 中的测试 URL 选项可能会返回一个错误,虽然它可以正确工作。
注意:要查看防火墙上的列表, 需要在策略中使用后海湾.
如果安全规则未配置动态块列表或目标 vsys 不设置多 vsys 系统中,可能也会出现错误。
- 若要将动态阻止列表应用于安全规则, 请参见下面的示例:
应将该操作设置为 "阻止", 而不是将 EBL 对象作为目标的规则 "允许". - 设置目标 vsys:
> 设置系统设置目标 vsys<vsys1></vsys1>
如果 EBL (非共享 EBL) 在全景图上创建的然后应该应用于前规则和推送到托管设备与多个 vsys。
注 1: "帕洛阿尔托更新" 的服务路线也会影响 EBLs.
注 2: 在泛 OS 6.1 之前, 当应用于安全策略时, 带有注释的行将 ommited. 6.1 和以上将正确运用线条与列入他们的意见。
示例:
#test 后海湾干线
1.2.3.4
10.10.10.10
10.11.12.13 testingcommentsread 在这里
10.12.12.14 #testingcommentsread 在这里
>> 显示运行安全策略
TestDBL {
从 trust-L3;
源任何;
源区域无;
untrust-L3;
目标 [1.2.3.4 10.10.10.10];
目标区域无;
用户任何;
类别任何;
应用程序/服务任何/任何/任何/任何/任何;
行动允许;
终端是;
}
注意:如果刷新 EBL 时显示其他错误, 则可以打开管理服务器调试, 然后 ms.log. 如果还有问题 EBL 列表的格式,它将明确指出在 ms.log。下面显示的示例 ms.log 文件条目:
Feb 15 12:43:21 EBL 词条 (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) 刷新作业已取消
2月15日 12:43:21 EBL 词条 (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) EBL 刷新作业成功
2月15日 12:43:21 EBL 分配免费定时器 (0xdbfbecb0, 1356)
2月15日 12:43:21 EBL 词条 (0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) 发布 EBL
2月15日 12:43:21 EBL ALLOC 自由尺寸 (0xe0b6ac60 1196)
最大外部块列表和地址范围内每个列表条目数:
- 在 PAN OS 7.0.x 和下面, 每个平台最多可以有10 个外部阻止列表.
- 在 PAN OS 7.1.x 和更高版本中, 每个平台最多可以有30 个外部阻止列表.
- 每个列表都可以包含防火墙模型所支持的最大地址数减去300.
- 每个用电子束光刻算作一个地址对象和无助于平台最大的最大地址,即如果设备最大地址是 5000,你可以有 10 曝光的 4700 大小,每个和 4990 其他地址对象。
若要查看您的系统具有,请通过 CLI 输入以下命令:
在 PA 200 命令和输出应该私奔像这样:
> 显示系统状态 |cfg.general.max 地址匹配
cfg.general.max 地址: 2500年
这里是一个图形显示的硬件和最大地址条目:
硬件 | 最大地址条目 |
PA-200 PA-220 PA-500 PA-820 | 2500 |
PA-850 | 3500 |
PA 3020 | 5000 |
PA-3050 PA 3060 PA 5020 | 10000 |
PA 5050 PA 5220 | 40000 |
PA 5060 PA 5250 PA 5260 PA-7050 | 80000 |
在 PA-200 上运行 PAN OS 7.0.x 和下面的操作时, 它可以有:
- 最多10个外部阻止列表
- 所有外部列表中的最多50000个IPs 组合. (1 列表与 50000 IPs 或 5000 环迅 10 列表支持)
如果您在一个设备中使用超过 10 曝光你将在提交过程中看到以下错误:
支持外部块列表 (10) 超过最大数量
注意:如果将共享的 EBL 对象从全景推送到启用了多个 Vsys 的设备, 则可能会遇到一个问题, 每个 EBL 每 Vsys 计数一次. 例如, 如果您创建了 10 Vsys #1 特定 EBLs, 然后另一个 10 Vsys #2 特定 EBLs, 则推送到防火墙将失败, 因为它超过了7.0.x 和以下的10外部阻止列表限制。这是一个建筑的变化已在泛 OS 7.1 解决的问题。
如果走上的数目超过总数的能力,你可以看到在系统日志中的下列错误:
EBL (<ebl-name>) 超过最大数量的 ips 在行 XXXX</ebl-name>