当防火墙位于另一个安全设备后面时, 无法下载 PAN OS 映像
19413
Created On 09/26/18 13:51 PM - Last Modified 06/09/23 07:43 AM
Resolution
问题
您可以在 "设备 > 软件" 下的 "软件" 页面上单击 "立即检查"。但是, 当您单击 "下载" 下载新的软件映像时, 不会发生任何情况, 或者您会收到有关超时的错误信息。
我们假设拓扑看起来类似于:
信任/DMZ > 帕洛阿尔托网络防火墙 > 防火墙/代理 > 互联网
原因
此问题可能发生, 因为 updates.paloaltonetworks.com 被转发到内容传递网络 (CDN), 如 a23-4-1-166. 部署. 静态. akamaitechnologies 虽然 CDN IPs 通常是动态的, 但服务器能够承载内容并基于最低的滞后时间进行响应。
解决办法
在帕洛阿尔托网络设备前面的其他安全设备上, 如果设备 (防火墙/代理服务器, 则需要允许来自帕洛阿尔托网络防火墙的通信访问 downloads.paloaltonetworks.com 和 CDN 类别。)有能力做到这一点.