Was passiert, wenn die dynamische Block Liste falsch formatierte Zeilen enthält?
Resolution
Die Palo Alto Networks Firewall ignoriert alle falsch formatierten Zeilen und wird die Liste weiterverarbeiten.
Details
Die unten stehende Beispiel dynamische Blockliste (auch externe Blockliste genannt) enthält nur zwei gültige IPS/Subnetze (2.2.2.0/24 und 3.3.3.0/24). Die anderen Zeilen sind falsch formatiert. Die Palo Alto Networks Firewall wird die ungültigen Zeilen ignorieren und nur die gültigen verarbeiten.
2.2.2.0/24
abcdefg
;
5.5/24
#
3.3.3.0/24
Überprüfung
Gehen Sie zu Objekt > dynamische Block Listen und erstellen Sie die Block Liste:
Konfigurieren Sie die Blockliste in einer Richtlinie unter dem Zielfeld. Die folgende Beispiel Politik wird genannt, TEST_EBL:
Der folgende Befehl zeigt die Blockliste an, die auch die falschen Zeilen enthält.
> Anfrage System externe-Liste Anzeigennamen EBL1
vsys1/EBL1:
Nächstes Update: Fr Jul 4 22:00:11 2014
IPs:
2.2.2.0/24
abcdefg
;
5.5/24
#
3.3.3.0/24
Der folgende Befehl zeigt die Policy-Ausgabe an, die nur legale IPS akzeptiert. Beachten Sie, dass nur 2.2.2.0/24 und 3.3.3.0/24 erscheinen:
> Lauf Sicherheitspolitik anzeigen
TEST_EBL {
von jedem;
jede Quelle;
Quelle-Region keine;
für alle;
Reiseziel [ 2.2.2.0/24 3.3.3.0/24 ];
Ziel-Region keine;
Benutzer;
Kategorie alle;
Anwendungsdienst/jeder/jede/jeder/jede;
Aktion ermöglichen;
Terminal ja;
}
Hinweis: die Anzeige der Ausgabe der Show-Session-ID <id>bietet eine weitere Verifizierung.</id>
Senden Sie ein Test-Ping-Paket durch die Firewall. Dann beobachten Sie die Sitzung:
> Sitzung alle anzeigen
--------------------------------------------------------------------------------
ID Anwendung State Art Flagge Src [Sport] / Zone/Proto (übersetzte IP[Port])
VSys Dst [Dport] / Zone (übersetzt von IP[Port])
--------------------------------------------------------------------------------
12777 ping Active Flow NS 192.168.154.201 [512]/Trust-L3/1 (10.129.17.154 [512])
vsys1 2.2.2.2 [46874]/Untrust-L3 (2.2.2.2 [46874])
> Session ID 12777
Session 12777
C2S fließen:
Quelle: 192.168.154.201 [Trust-L3]
DST: 2.2.2.2
Proto: 1
Sport: 512 dport: 46874
Zustand: INIT Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
S2C Durchfluss:
Quelle: 2.2.2.2 [Untrust-L3]
DST: 10.129.17.154
Proto: 1
Sport: 46874 dport: 512
Zustand: INIT Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Fr Jul 4 21:50:24 2014
Timeout: 6 Sek.
Gesamtzahl der Byte (C2S): 74
Byte count(s2c) Gesamt: 0
Layer7-Paket count(c2s): 1
Layer7-Paket count(s2c): 0
VSys: vsys1
Anwendung: Ping
Regel: TEST_EBL
Sitzung am Ende angemeldet sein: wahr
Sitzung im Sitzung Ager: False
Sitzung von HA Peer synchronisiert: False
Adresse/Port Übersetzung: Quelle + Ziel
NAT-Regel: NAT-to-Untrust (vsys1)
Layer7-Verarbeitung: aktiviert
URL-Filterung aktiviert: False
Sitzung über Syn-Cookies: False
Sitzung beendet auf Host: False
Sitzung Tunnel durchquert: False
Captive Portal Sitzung: False
Eindringen-Schnittstelle: ethernet1/3
Egress-Schnittstelle: Ethernet1/1
Sitzung-QoS-Regel: N/A (Klasse 4)
Tracker Stage Firewall: gealtert
> Sitzung alle anzeigen
--------------------------------------------------------------------------------
ID Anwendung State Art Flagge Src [Sport] / Zone/Proto (übersetzte IP[Port])
VSys Dst [Dport] / Zone (übersetzt von IP[Port])
--------------------------------------------------------------------------------
12783 Ping Active Flow NS 192.168.154.201 [512]/Trust-L3/1 (10.129.17.154 [512])
vsys1 3.3.3.3 [47386]/Untrust-L3 (3.3.3.3 [47386])
> Session ID 12783
Session 12783
C2S fließen:
Quelle: 192.168.154.201 [Trust-L3]
DST: 3.3.3.3
Proto: 1
Sport: 512 dport: 47386
Zustand: INIT Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
S2C Durchfluss:
Quelle: 3.3.3.3 [Untrust-L3]
DST: 10.129.17.154
Proto: 1
Sport: 47386 dport: 512
Zustand: INIT Typ: FLOW
SRC-Benutzer: unbekannt
DST-Benutzer: unbekannt
Startzeit: Fr Jul 4 21:50:52 2014
Timeout: 6 Sek.
Gesamtzahl der Byte (C2S): 74
Byte count(s2c) Gesamt: 0
Layer7-Paket count(c2s): 1
Layer7-Paket count(s2c): 0
VSys: vsys1
Anwendung: Ping
Regel: TEST_EBL
Sitzung am Ende angemeldet sein: wahr
Sitzung im Sitzung Ager: False
Sitzung von HA Peer synchronisiert: False
Adresse/Port Übersetzung: Quelle + Ziel
NAT-Regel: NAT-to-Untrust (vsys1)
Layer7-Verarbeitung: aktiviert
URL-Filterung aktiviert: False
Sitzung über Syn-Cookies: False
Sitzung beendet auf Host: False
Sitzung Tunnel durchquert: False
Captive Portal Sitzung: False
Eindringen-Schnittstelle: ethernet1/3
Egress-Schnittstelle: Ethernet1/1
Sitzung-QoS-Regel: N/A (Klasse 4)
Tracker Stage Firewall: gealtert
Allow-to-unvertrauen {
von [Trust-L3 DMZ-L3];
jede Quelle;
Quelle-Region keine;
um Vertraulichkeit-L3;
Ziel jeder;
Ziel-Region keine;
Benutzer;
Kategorie alle;
Anwendungsdienst/jeder/jede/jeder/jede;
Aktion ermöglichen;
Terminal ja;
}
Siehe auch
Arbeiten mit externen Block Liste (EBL) Formate und Einschränkungen
Besitzer: Hshah