URL フィルタリング - ダイナミック ブロック リスト - 外部ブロック リスト EDL
Symptom
以前のバージョンの PAN-OS では、ダイナミック ブロック リスト ( EDL - 外部動的リスト ) または外部ブロック リスト ( EBL ) では firewall 、管理者は IP IP を含む外部ファイルに基づいてサブネットまたは範囲のリストをブロックすることができました。
PAN-OS7.1 以降、URL を別のリスト型として導入すると、このようなブロックがこれまで以上に簡単になりました。
Environment
- PAN-OS 7.1
- 外部動的リスト ( EDL )
Resolution
要件
各 URL リストは、カテゴリ名としてリストの名前を使用して、カテゴリとして扱われます。
- これらのカテゴリは、 URL プロファイルのフィルタリングとセキュリティルールで使用できます。
- 更新は、5分、毎時、毎日、毎週、または毎月に設定することができます。
- 5分間隔が設定されている場合は、リストコンテンツに対する変更のみがコミットをトリガし、1時間につき1回だけ実行されます。
- リストが外部サイトで更新されているが、ローカルで見られない場合は firewall 、構成監査/候補構成をチェックして、リストからプルされた新しい項目を確認します。
- URLリストはサイトでホストできます HTTPS 。 すべての検証がチェックされます ( CA 検証, CN / SAN チェック, 有効期限チェック OCSP , 、 & CRL )。この検証は 8.0 以降でのみサポートされることに注意 PAN-OS してください(https://www.paloaltonetworks.com/documentation/80/ pan-os /newfeaturesguide/認証機能/外部動的リストの認証)。
PA-200、 、 、 PA-500 PA-2000 PA-3000 、および PA-4000 PA-VM プラットフォーム
- 30 個のリストを組み合わせる ( IP DNS + ) URL 。
- 5万 IPs の合計は、個々のリストの制限はありません。
- 合計 50,000 DNS 個 + URL の組み合わせ、リストごとの制限なし。
PA-5000 & PA-7000 シリーズ
- 30 個のリストを組み合わせる ( IP DNS + ) URL 。
- 15万 IPs の合計は、個々のリストの制限はありません。
- 合計 50,000 DNS 個 + URL の組み合わせ、リストごとの制限なし。
注: 最大 50K の URL を超える URL が使用されている場合、 は firewall 最初の 50K を使用し、リストを切り捨てます。 A このイベントに対してシステム ログが生成されます。
構成
ステップ 1. 新しい外部リストを作成するには、[外部動的リスト>オブジェクト]>[追加]に移動します。 I 名前として'Bad Mojo'を使用しました。 外部ソースを追加します。 I 使用される"http://www.example.com/url-list.txt" また、この外部リストのリフレッシュレートとして「5分」に設定されている「リピート」にも注意してください。
ステップ 2. オブジェクト内に新しい URL フィルタリング プロファイルを作成するには、セキュリティ プロファイル URL >>フィルタリング>新しいプロファイルを追加します。 一番下までスクロールして、新しく作成したリストを表示します。
メモ: アクションは、 の作成後に作成された新しいプロファイルに対しては '許可' EDL です。
ステップ 3. 既存のプロファイルを編集するには、[オブジェクト] を選択>[セキュリティ プロファイル> URL フィルタリング] を選択し、名前をクリックして編集します。
注: 管理者がアクションを変更するまで、アクションは「なし」になります。 カスタム カテゴリと同じ動作 URL 。
ステップ 4. Secutiy Policy ビュー (ポリシー>セキュリティ) 内でルール名をクリックしてルールを編集し、サービス/カテゴリ内の URL [外部動的リスト] の下に [不正な Mojo] リストが表示されます。
ステップ 5.このリストを有効にするコミット。
リスト形式の要件
- List は、プレーンテキストドキュメント (no HTML 、no PDF など) でなければなりません。
- スキームは省略可能で、見つかった場合は切り捨てられます (不完全な場合でも)。
- http://は必要ありません。
- ワイルドカード (*) がサポートされています。
- * example.com/hacked/*
- www. 例. ネット/wp-*/debug/
- 1行あたりの最大長は1024文字です。
- 2バイト文字はサポートされていません。
- ドメインを指定する場合は、両方の形式を使用します (カスタム カテゴリの場合と同様 URL )。
- example.com
- *. example.com
マルチ vsys 環境:
> set shared/<vsys vsys> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/<vsys vsys1> external-list <name>
+ description description
+ url url
+ type type
> recurring recurring
<Enter> Finish input
> set shared/<vsys vsys1> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List
シングル vsys 環境
> set external-list <tab> -list of current added lists <name> > set external-list <name> + description description + url url + type type > recurring recurring <Enter> Finish input > set external-list <name> type <tab> + domain Domain List + ip IP List + url URL List
Panorama:
> set shared/<device-group dg name> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/device-group dg name> external-list <name>
+ description description
+ url url
+ type type
+ recurring recurring
<Enter> Finish input
> set shared/device-group dg name> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List CLI 変更 (更新と表示コマンド)
> request system external-list show type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list show type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list show type url name edl-url1
{displays list of URL entries}
> request system external-list refresh type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list refresh type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list refresh type url name edl-url1
Panorama
7.1 より古いバージョンを管理する場合は、 ' IP ' ' 型の外部ブロック リストのみを使用できます。
7.0 以前のバージョンにプッシュすると、タイプ 'url' のオブジェクトは構成から削除されます PAN-OS 。
- policyリスト型を参照する場合 URL 、コミットは失敗します。