URL Filtern - Dynamische Sperrliste - Externe Sperrliste EDL
Symptom
In früheren Versionen von , PAN-OS Dynamic Block List ( - External Dynamic EDL List) oder External Block Lists ( EBL ) konnte ein Administrator eine Liste von firewall IP Subnetzen oder Bereichen blockieren, die auf einer externen Datei basieren, die die IPs enthält.
Ab 7.1 ist das Blockieren dieser Art PAN-OS mit der Einführung von URLs als separatem Listentyp einfacher denn je geworden.
Environment
- PAN-OS 7,1
- Externe dynamische Liste ( EDL )
Resolution
Anforderungen
Jede URL Liste wird als Kategorie behandelt, wobei der Name der Liste als Kategoriename verwendet wird.
- Diese Kategorien sind in URL Filterprofilen und in den Sicherheitsregeln verfügbar.
- Updates können auf 5 Minuten, stündlich, täglich, wöchentlich oder monatlich eingestellt werden.
- Wenn ein 5-Minuten-Intervall gesetzt ist, werden nur Änderungen an Listen Inhalten eine Übergabe auslösen, und nur einmal pro Stunde.
- Wenn die Liste auf der externen Website aktualisiert wird, sie jedoch nicht auf der lokalen Website angezeigt firewall wird, überprüfen Sie die Konfigurationsprüfung/Kandidatenkonfiguration, um die neuen Elemente anzuzeigen, die aus der Liste gezogen wurden.
- Die URL Liste kann auf einer Website gehostet HTTPS werden. Alle Validierungen werden überprüft ( CA Validierung, CN / SAN Prüfung, Ablaufprüfung, OCSP , & CRL ).Beachten Sie, dass diese Validierung nur in PAN-OS 8.0 und höher (https://www.paloaltonetworks.com/documentation/80/ pan-os /newfeaturesguide/authentication-features/authentication-for-external-dynamic-lists) unterstützt wird.
PA-200, , , und PA-500 PA-2000 PA-3000 PA-4000 PA-VM Plattformen
- 30 Listen kombiniert ( IP + DNS + URL ).
- 50.000 IPS Total ohne individuelle Listen Beschränkung.
- 50.000 insgesamt DNS + URLs kombiniert, kein Limit pro Liste.
PA-5000 & PA-7000 Serie
- 30 Listen kombiniert ( IP + DNS + URL ).
- 150.000 IPS Total ohne individuelle Listen Beschränkung.
- 50.000 insgesamt DNS + URLs kombiniert, kein Limit pro Liste.
Hinweis: Wenn mehr als die maximal 50K-URLs verwendet werden, verwendet der firewall die ersten 50K und wird die Liste abschneiden. A Systemprotokoll wird für dieses Ereignis generiert.
Konfigurationsschritt
1. Um eine neue externe Liste zu erstellen, navigieren Sie zu Objekte > externe dynamische Listen > Hinzufügen. I "Bad Mojo" als Namen verwendet. Die externe Quelle hinzufügen. I verwendet "http://www.example.com/url-list.txt". Beachten Sie auch die 'Wiederholung', die auf 'Fünf Minuten' als Aktualisierungsrate für diese externe Liste gesetzt ist.
Schritt 2. So erstellen Sie ein neues URL Filterprofil in Objekten > Sicherheitsprofilen > URL Filtern > ein neues Profil hinzufügen. Scrollen Sie nach unten, um die neu erstellte Liste anzuzeigen.
Hinweis:Aktion ist 'zulassen' für neue Profile, die nach der Erstellung erstellt EDL wurden.
Schritt 3. Um ein vorhandenes Profil zu bearbeiten, wählen Sie Objekte > Sicherheitsprofile n > Filtern aus, bearbeiten Sie URL es, indem Sie auf den Namen klicken.
Hinweis: Die Aktion ist "keine", bis ein Administrator sie ändert. Gleiches Verhalten wie benutzerdefinierte URL Kategorien.
Schritt 4. Klicken Sie in einer Policy Secutiy-Ansicht (Richtlinien > Sicherheit) auf einen Regelnamen, um die Regel zu bearbeiten, und sehen Sie dann in der Dienst-/Kategorie URL die Liste Bad Mojo unter Externe dynamische Listen:
Schritt 5.Commit, um diese Liste zu aktivieren.
Listenformatanforderungen
- Liste muss ein Nur-Text-Dokument sein (nein, HTML nein PDF usw.).
- Schema ist optional und wird abgeschnitten, wenn es – gefunden wird, auch wenn es unvollständig ist.
- http://wird nicht benötigt.
- Wildcards (*) werden unterstützt.
- *. example.com/Hacked/*
- www. Beispiel. net/wp-*/Debug/
- Die maximale Länge pro Zeile beträgt 1024 Zeichen.
- Doppel-Byte-Zeichen nicht unterstützt.
- Wenn Sie eine Domäne angeben, verwenden Sie beide Formate (wie bei benutzerdefinierten URL Kategorien):
- example.com
- *. example.com
Multi-vsys-Umgebung:
> set shared/<vsys vsys> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/<vsys vsys1> external-list <name>
+ description description
+ url url
+ type type
> recurring recurring
<Enter> Finish input
> set shared/<vsys vsys1> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List
Single-vsys-Umgebung
> set external-list <tab> -list of current added lists <name> > set external-list <name> + description description + url url + type type > recurring recurring <Enter> Finish input > set external-list <name> type <tab> + domain Domain List + ip IP List + url URL List
Panorama:
> set shared/<device-group dg name> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/device-group dg name> external-list <name>
+ description description
+ url url
+ type type
+ recurring recurring
<Enter> Finish input
> set shared/device-group dg name> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List CLI Änderungen (Aktualisierungs- & Showbefehle)
> request system external-list show type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list show type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list show type url name edl-url1
{displays list of URL entries}
> request system external-list refresh type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list refresh type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list refresh type url name edl-url1
Panorama
Bei der Verwaltung von Versionen, die älter als 7.1 sind, dürfen nur IP ' ' externe Blocklisten verwendet werden.
Objekte vom Typ 'url' werden aus der Konfiguration entfernt, wenn sie auf eine Version 7.0 oder älter verschoben PAN-OS werden.
- Wenn ein policy Verweis auf einen URL Listentyp fehlschlägt.