URL 过滤 - 动态块列表 - 外部块列表 EDL
Symptom
在早期版本的 PAN-OS "动态块列表 EDL (-外部动态列表)"或"外部块列表" EBL 中, firewall 管理员可以 IP 根据包含 IPs 的外部文件阻止子网列表或范围。
从 PAN-OS 7.1 开始,通过引入网址作为单独的列表类型,这样的拦截变得比以往更容易。
Environment
- PAN-OS 7.1
- 外部动态列表 ( EDL )
Resolution
要求
每个 URL 列表都被视为一个类别,使用列表的名称作为类别名称。
- 这些类别可在 URL 筛选配置文件和安全规则中找到。
- 更新可以设置为5分钟、每小时、每天、每周或每月。
- 如果设置了5分钟的间隔, 则只有对列表内容所做的更改才会触发提交, 并且只有每小时一次。
- 如果列表在外部网站上更新,但未在本地看到 firewall ,请检查配置审核/候选配置以查看从列表中提取的新项目。
- URL该列表可以托管在 HTTPS 网站上。 所有验证将检查( CA 验证 CN ,/ SAN 检查,过期检查 OCSP ,&)。 CRL请注意,此验证仅支持 PAN-OS 8.0 及以后 pan-os (https://www.paloaltonetworks.com/documentation/80//新功能指南/身份验证功能/外部动态列表身份验证)。
PA-200 PA-500 PA-2000 PA-3000 ,,, PA-4000 和 PA-VM 平台
- 30列表组合 IP DNS URL (++)。
- 5万 IPs 合计, 没有单独的列表限制。
- 50,000总 DNS +网址加起来,每个列表没有限制。
PA-5000 • PA-7000 系列
- 30列表组合 IP DNS URL (++)。
- 15万 IPs 合计, 没有单独的列表限制。
- 50,000总 DNS +网址加起来,每个列表没有限制。
注意: 如果使用的最大 50K ULS 以上, firewall 则将使用前 50K 并截断列表。 A 为此事件生成系统日志。
配置
步骤 1。 要创建新的外部列表,>添加>外部动态列表导航到对象。 I 用"坏莫霍"作为名称。 添加外部源。 I 使用"http://www.example.com/url-list.txt"。 还要注意"重复",该"重复"设置为"五分钟",作为此外部列表的刷新速率。
第 2 步。 要在 URL 对象内创建新的筛选配置文件>安全配置文件> URL 筛选>添加新配置文件。 滚动到底部,查看新创建的列表。
注意:对于创建后创建的新配置文件,操作是"允许的 EDL "。
第 3 步。 要编辑现有配置文件,请选择"对象>安全配置文件> URL 筛选,请单击名称进行编辑。
注意:在管理员更改之前,操作是"无"的。 与自定义类别相同的行为 URL 。
第 4 步。 在 Secutiy Policy 视图(策略>安全性)中,单击规则名称以编辑规则,然后在服务/ URL 类别中,您将看到外部动态列表下的 Bad Mojo 列表:
第 5 步。提交以启用此列表。
列出格式要求
- 列表必须是一个普通文本文档(否 HTML 、否 PDF 等)。
- 方案是可选的, 如果找到, 将被截断-即使它不完整。
- http://不需要。
- 支持通配符 (*)。
- *. example.com/hacked/*
- 示例. net/wp-*/调试/
- 每行最大长度为1024个字符。
- 不支持双字节字符。
- 如果指定域,请使用两种格式(如自定义 URL 类别):
- example.com
- *.最经典
多vsys环境:
> set shared/<vsys vsys> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/<vsys vsys1> external-list <name>
+ description description
+ url url
+ type type
> recurring recurring
<Enter> Finish input
> set shared/<vsys vsys1> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List
单 vsys 环境
> set external-list <tab> -list of current added lists <name> > set external-list <name> + description description + url url + type type > recurring recurring <Enter> Finish input > set external-list <name> type <tab> + domain Domain List + ip IP List + url URL List
Panorama:
> set shared/<device-group dg name> external-list <tab>
{displays a list of current added lists}
<name>
> set shared/device-group dg name> external-list <name>
+ description description
+ url url
+ type type
+ recurring recurring
<Enter> Finish input
> set shared/device-group dg name> external-list <name> type <tab>
+ domain Domain List
+ ip IP List
+ url URL List CLI 更改(刷新和显示命令)
> request system external-list show type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list show type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list show type url name edl-url1
{displays list of URL entries}
> request system external-list refresh type
+ domain Domain list type
+ ip IP list type
+ url URL list type
> request system external-list refresh type url name <tab>
+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name> <name>
> request system external-list refresh type url name edl-url1
Panorama
当管理7.1以上的版本时,只能 IP 使用"类型外部阻止列表"。
当推至 7.0 或更老版本时,类型"url"的对象将从配置中剥离 PAN-OS 。
- 如果 policy 引用 URL 列表类型,提交将失败。