URL Filtrado - Lista de bloques dinámicos - Lista de bloques externos EDL
Symptom
En versiones anteriores de , Lista de PAN-OS bloques dinámicos ( EDL - Lista dinámica externa) o Listas de bloques externos ( EBL ) permitió a un administrador bloquear una lista de firewall IP subredes o rangos basados en un archivo externo que contiene las direcciones IP.
A partir de PAN-OS la 7.1, bloquear así se ha vuelto más fácil que nunca con la introducción de direcciones URL como un tipo de lista independiente.
Environment
- PAN-OS 7,1
- Lista dinámica externa ( EDL )
Resolution
Requisitos
Cada URL lista se trata como una categoría, utilizando el nombre de la lista como el nombre de la categoría.
- Esas categorías están disponibles en URL los perfiles de filtrado y en las reglas de seguridad.
- Las actualizaciones se pueden configurar a 5 minutos, cada hora, diariamente, semanal o mensualmente.
- Si se establece un intervalo de 5 minutos, sólo los cambios en el contenido de la lista desencadenarán una confirmación y sólo una vez por hora.
- Si la lista se actualiza en el sitio externo, pero no se ve en el local firewall , compruebe la configuración de auditoría de configuración/candidato para ver los nuevos elementos extraídos de la lista.
- La URL lista se puede alojar en un HTTPS sitio. Se comprobará toda la validación CA (validación, CN / SAN comprobación, verificación de caducidad, OCSP y CRL ).Tenga en cuenta que esta validación solo se admite en PAN-OS 8.0 y versiones posteriores(https://www.paloaltonetworks.com/documentation/80/ pan-os /newfeaturesguide/authentication-features/authentication-for-external-dynamic-lists).
PA-200, , , y PA-500 PA-2000 PA-3000 PA-4000 PA-VM plataformas
- 30 listas combinadas ( IP + DNS + URL ).
- total de 50.000 IPS sin limitación de lista individual.
- 50.000 DNS direcciones URL totales combinadas, sin límite por lista.
PA-5000 & PA-7000 serie
- 30 listas combinadas ( IP + DNS + URL ).
- total de 150.000 IPS sin limitación de lista individual.
- 50.000 DNS direcciones URL totales combinadas, sin límite por lista.
Nota: Si se utiliza más de las direcciones URL máximas de 50K, los firewall usarán los primeros 50K y truncarán la lista. A registro del sistema se genera para este evento.
Paso de configuración
1. Para crear una nueva lista Externa, vaya a Objetos > Listas dinámicas externas > Agregar. I usó 'Bad Mojo' como nombre. Añada la fuente externa. I utilizado"http://www.example.com/url-list.txt". Observe también la 'repetición', que se establece en "Cinco minutos" como la frecuencia de actualización de esta lista externa.
Paso 2. Para crear un nuevo URL perfil de filtrado dentro de objetos > perfiles de seguridad > filtrado > Agregar un nuevo URL perfil. Desplázate hasta la parte inferior para ver la lista recién creada.
Nota:La acción es 'permitir' para los nuevos perfiles creados después de EDL que se cree.
Paso 3. Para editar un perfil existente, elija Objects > Security Profiles > URL Filtering, Editándolo haciendo clic en el nombre.
Nota: La acción no es 'ninguna' hasta que un administrador la cambia. El mismo comportamiento que URL las categorías personalizadas.
Paso 4. Dentro de una vista de secutiy Policy (directivas > seguridad), haga clic en un nombre de regla para editar la regla y, a continuación, dentro de la URL categoría Servicio/, verá la lista Mojo incorrecto en Listas dinámicas externas:
Paso 5.Confirme para habilitar esta lista.
Requisitos de formato de lista
- La lista debe ser un documento de texto sin formato HTML (no, PDF no, etc.).
- El esquema es opcional, y se truncará si se encuentra – incluso si está incompleto.
- http://no es necesario.
- Se admiten comodines (*).
- *. example.com/Hacked/*
- www. example. net/wp-*/Debug/
- La longitud máxima por línea es de 1024 caracteres.
- No se admiten caracteres de doble byte.
- Si especifica un dominio, utilice ambos formatos (como con URL categorías personalizadas):
- Example.com
- *. ejemplo.com
Entorno multi-vsys:
> set shared/<vsys vsys> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/<vsys vsys1> external-list <name>
+ description description
+ url url
+ type type
> recurring recurring
<Enter> Finish input
> set shared/<vsys vsys1> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List
Entorno de un solo vsys
> set external-list <tab> -list of current added lists <name> > set external-list <name> + description description + url url + type type > recurring recurring <Enter> Finish input > set external-list <name> type <tab> + domain Domain List + ip IP List + url URL List
Panorama:
> set shared/<device-group dg name> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/device-group dg name> external-list <name>
+ description description
+ url url
+ type type
+ recurring recurring
<Enter> Finish input
> set shared/device-group dg name> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List CLI cambios (comandos refresh &show)
> request system external-list show type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list show type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list show type url name edl-url1
{displays list of URL entries}
> request system external-list refresh type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list refresh type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list refresh type url name edl-url1
Panorama
Al administrar versiones anteriores a 7.1, solo IP se pueden utilizar listas de bloques externas de tipo ' ' ' .
Los objetos de tipo 'url' se eliminarán de la configuración cuando se insertan en una versión 7.0 o PAN-OS anterior.
- Si un policy tipo de lista hace referencia a un tipo de URL lista, se producirá un error en la confirmación.