URL Filtrage - Liste de blocs dynamiques - Liste de blocs externes EDL
Symptom
Dans les versions PAN-OS précédentes de , Dynamic Block List ( EDL - Liste dynamique externe) ou listes de blocs externes ( ) a permis à un administrateur de bloquer une liste de EBL firewall IP sous-réseaux ou de plages basées sur un fichier externe contenant les ADRESSES.
À partir PAN-OS de 7,1, le blocage comme celui-ci est devenu plus facile que jamais avec l’introduction d’URL comme un type de liste distincte.
Environment
- PAN-OS 7,1
- Liste dynamique externe ( EDL )
Resolution
Conditions requises
Chaque URL liste est traitée comme une catégorie, en utilisant le nom de la liste comme nom de catégorie.
- Ces catégories sont disponibles dans les URL profils de filtrage et dans les règles de sécurité.
- Les mises à jour peuvent être réglées à 5 minutes, par heure, par jour, par semaine ou par mois.
- Si un intervalle de 5 minutes est défini, seules les modifications apportées au contenu de la liste déclencheront une validation et une seule fois par heure.
- Si la liste est mise à jour sur le site externe, mais qu’elle n’est pas visible sur le firewall local, consultez l’audit config/candidat config pour voir les nouveaux éléments retirés de la liste.
- La URL liste peut être hébergée sur un HTTPS site. Toutes les validations seront vérifiées CA (validation, CN / SAN vérification, vérification d’expiration, OCSP , et CRL ).Notez que cette validation n’est prise en charge que PAN-OS dans 8.0 et plus tard (https://www.paloaltonetworks.com/documentation/80/ pan-os /newfeaturesguide/authentification-fonctionnalités/authentification-pour-externe-dynamique-listes).
PA-200, , , et PA-500 PA-2000 PA-3000 PA-4000 PA-VM plates-formes
- 30 listes combinées ( IP + DNS + URL ).
- 50 000 IPS total sans limitation de liste individuelle.
- 50 000 URL DNS totales + combinées, sans limite par liste.
PA-5000 & PA-7000 série
- 30 listes combinées ( IP + DNS + URL ).
- 150 000 IPS total sans limitation de liste individuelle.
- 50 000 URL DNS totales + combinées, sans limite par liste.
Note: Si plus que le maximum 50K URL est utilisé, le firewall va utiliser le premier 50K et tronquer la liste. A le journal du système est généré pour cet événement.
Configuration
Étape 1. Pour créer une nouvelle liste externe, accédez aux > des listes dynamiques externes > ajouter. I utilisé 'Bad Mojo' comme nom. Ajouter la source externe. I utilisé« http://www.example.com/url-list.txt ». Notez également la « répétition », qui est définie à « Cinq minutes » comme le taux de rafraîchissement pour cette liste externe.
Étape 2. Pour créer un nouveau profil URL de filtrage à l’intérieur des > les profils > URL de sécurité > pouvez ajouter un nouveau profil. Faites défiler vers le bas pour voir la liste nouvellement créée.
Remarque: L’action est « permettre » pour les nouveaux profils créés après EDL la création.
Étape 3. Pour modifier un profil existant, choisissez des objets > profils de sécurité > URL filtrage, modifiez-le en cliquant sur le nom.
Remarque : L’action n’est « aucune » jusqu’à ce qu’un administrateur la modifie. Même comportement que les catégories URL personnalisées.
Étape 4. À l’intérieur d’une vue Secutiy Policy (Policies > Security), cliquez sur un nom de règle pour modifier la règle, puis à l’intérieur du Service/ Catégorie, vous verrez URL la liste Bad Mojo sous listes dynamiques externes :
Étape 5.Engagez-vous à activer cette liste.
Liste des exigences de format
- La liste doit être un document en texte clair HTML (non, PDF non, etc.).
- Scheme est facultative, et sera tronquée si elle est trouvée-même si elle est incomplète.
- http://n'est pas nécessaire.
- Les caractères génériques (*) sont pris en charge.
- *. example.com/hacked/*
- www. example. net/wp-*/Debug/
- La longueur maximale par ligne est de 1024 caractères.
- Caractères codés sur deux octets non pris en charge.
- Si vous spécifiez un domaine, utilisez les deux formats (comme pour les catégories URL personnalisées) :
- Example.com
- *. example.com
Environnement Multi-vsys :
> set shared/<vsys vsys> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/<vsys vsys1> external-list <name>
+ description description
+ url url
+ type type
> recurring recurring
<Enter> Finish input
> set shared/<vsys vsys1> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List
Environnement mono-vsys
> set external-list <tab> -list of current added lists <name> > set external-list <name> + description description + url url + type type > recurring recurring <Enter> Finish input > set external-list <name> type <tab> + domain Domain List + ip IP List + url URL List
Panorama:
> set shared/<device-group dg name> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/device-group dg name> external-list <name>
+ description description
+ url url
+ type type
+ recurring recurring
<Enter> Finish input
> set shared/device-group dg name> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List CLI changements (actualiser et afficher les commandes)
> request system external-list show type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list show type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list show type url name edl-url1
{displays list of URL entries}
> request system external-list refresh type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list refresh type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list refresh type url name edl-url1
Panorama
Lors de la gestion des versions de plus de 7,1, seules les listes de blocs externes de type « IP type » peuvent être utilisées.
Les objets de type « url » seront dépouillés du config lorsqu’ils sont poussés vers une version 7.0 ou PAN-OS plus.
- Si une référence policy à un type de URL liste, commit échouera.