Created On 09/26/18 13:44 PM - Last Modified 03/26/21 17:05 PM
Symptom
In früheren Versionen von , PAN-OS Dynamic Block List ( - External Dynamic EDL List) oder External Block Lists ( EBL ) konnte ein Administrator eine Liste von firewall IP Subnetzen oder Bereichen blockieren, die auf einer externen Datei basieren, die die IPs enthält.
Ab 7.1 ist das Blockieren dieser Art PAN-OS mit der Einführung von URLs als separatem Listentyp einfacher denn je geworden.
Environment
PAN-OS 7,1
Externe dynamische Liste ( EDL )
Resolution
Anforderungen Jede URL Liste wird als Kategorie behandelt, wobei der Name der Liste als Kategoriename verwendet wird.
Diese Kategorien sind in URL Filterprofilen und in den Sicherheitsregeln verfügbar.
Updates können auf 5 Minuten, stündlich, täglich, wöchentlich oder monatlich eingestellt werden.
Wenn ein 5-Minuten-Intervall gesetzt ist, werden nur Änderungen an Listen Inhalten eine Übergabe auslösen, und nur einmal pro Stunde.
Wenn die Liste auf der externen Website aktualisiert wird, sie jedoch nicht auf der lokalen Website angezeigt firewall wird, überprüfen Sie die Konfigurationsprüfung/Kandidatenkonfiguration, um die neuen Elemente anzuzeigen, die aus der Liste gezogen wurden.
50.000 IPS Total ohne individuelle Listen Beschränkung.
50.000 insgesamt DNS + URLs kombiniert, kein Limit pro Liste.
PA-5000 & PA-7000 Serie
30 Listen kombiniert ( IP + DNS + URL ).
150.000 IPS Total ohne individuelle Listen Beschränkung.
50.000 insgesamt DNS + URLs kombiniert, kein Limit pro Liste.
Hinweis: Wenn mehr als die maximal 50K-URLs verwendet werden, verwendet der firewall die ersten 50K und wird die Liste abschneiden. A Systemprotokoll wird für dieses Ereignis generiert.
Konfigurationsschritt 1. Um eine neue externe Liste zu erstellen, navigieren Sie zu Objekte > externe dynamische Listen > Hinzufügen. I "Bad Mojo" als Namen verwendet. Die externe Quelle hinzufügen. I verwendet "http://www.example.com/url-list.txt". Beachten Sie auch die 'Wiederholung', die auf 'Fünf Minuten' als Aktualisierungsrate für diese externe Liste gesetzt ist.
Schritt 2. So erstellen Sie ein neues URL Filterprofil in Objekten > Sicherheitsprofilen > URL Filtern > ein neues Profil hinzufügen. Scrollen Sie nach unten, um die neu erstellte Liste anzuzeigen. Hinweis:Aktion ist 'zulassen' für neue Profile, die nach der Erstellung erstellt EDL wurden.
Schritt 3. Um ein vorhandenes Profil zu bearbeiten, wählen Sie Objekte > Sicherheitsprofile n > Filtern aus, bearbeiten Sie URL es, indem Sie auf den Namen klicken. Hinweis: Die Aktion ist "keine", bis ein Administrator sie ändert. Gleiches Verhalten wie benutzerdefinierte URL Kategorien.
Schritt 4. Klicken Sie in einer Policy Secutiy-Ansicht (Richtlinien > Sicherheit) auf einen Regelnamen, um die Regel zu bearbeiten, und sehen Sie dann in der Dienst-/Kategorie URL die Liste Bad Mojo unter Externe dynamische Listen:
Schritt 5.Commit, um diese Liste zu aktivieren.
Listenformatanforderungen
Liste muss ein Nur-Text-Dokument sein (nein, HTML nein PDF usw.).
Schema ist optional und wird abgeschnitten, wenn es – gefunden wird, auch wenn es unvollständig ist.
> set shared/<vsys vsys> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/<vsys vsys1> external-list <name>
+ description description
+ url url
+ type type
> recurring recurring
<Enter> Finish input
> set shared/<vsys vsys1> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List
Single-vsys-Umgebung
> set external-list <tab>
-list of current added lists
<name>
> set external-list <name>
+ description description
+ url url
+ type type
> recurring recurring
<Enter> Finish input
> set external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List
Panorama:
> set shared/<device-group dg name> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/device-group dg name> external-list <name>
+ description description
+ url url
+ type type
+ recurring recurring
<Enter> Finish input
> set shared/device-group dg name> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List
CLI Änderungen (Aktualisierungs- & Showbefehle)
> request system external-list show type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list show type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list show type url name edl-url1
{displays list of URL entries}
> request system external-list refresh type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list refresh type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list refresh type url name edl-url1
Panorama Bei der Verwaltung von Versionen, die älter als 7.1 sind, dürfen nur IP ' ' externe Blocklisten verwendet werden.
Objekte vom Typ 'url' werden aus der Konfiguration entfernt, wenn sie auf eine Version 7.0 oder älter verschoben PAN-OS werden.
Wenn ein policy Verweis auf einen URL Listentyp fehlschlägt.