¿Qué sucede cuando la lista de bloques dinámicos contiene líneas con formato incorrecto?
Resolution
El cortafuegos de Palo Alto Networks ignorará las líneas formateadas de forma incorrecta y continuará procesando la lista.
Detalles
La lista de bloques dinámicos de ejemplo (también denominada lista de bloques externos) a continuación contiene sólo dos IPS/subredes válidas (2.2.2.0/24 y 3.3.3.0/24). Las otras líneas tienen un formato incorrecto. El cortafuegos de Palo Alto Networks ignorará las líneas no válidas y sólo procesará las válidas.
2.2.2.0/24
ABCDEFG
;
5.5/24
#
3.3.3.0/24
Verificación de
Ir a objeto > listas de bloques dinámicos y crear la lista de bloques:
Configure la lista de bloques en una directiva bajo el campo destino. La siguiente directiva de ejemplo se denomina, TEST_EBL:
El siguiente comando muestra la lista de bloques, que incluye también las líneas incorrectas.
> solicitar sistema externo-lista Mostrar nombre EBL1
vsys1/EBL1:
Próxima actualización en: Fri Jul 4 22:00:11 2014
IPs:
2.2.2.0/24
ABCDEFG
;
5.5/24
#
3.3.3.0/24
El siguiente comando muestra el resultado de la Directiva, que sólo acepta IPS legales. Tenga en cuenta que sólo 2.2.2.0/24 y 3.3.3.0/24 aparecen:
> Mostrar ejecución de la Directiva de seguridad
TEST_EBL {
de cualquiera;
de la fuente
región de origen.
a cualquiera;
destino [ 2.2.2.0/24 3.3.3.0/24 ];
región de destino.
usuario cualquier;
Categoría;
servicio de aplicación cualquier/cualquiera/cualquier/cualquiera;
acción permite;
terminal sí;
}
Nota: ver la salida del identificador de sesión de show <id>proporciona una verificación adicional.</id>
Envíe un paquete de prueba de ping a través del cortafuegos. Luego, observe la sesión:
> Mostrar sesión todos
--------------------------------------------------------------------------------
ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port])
Vsys Dst [Dport] zona (traducido de IP[Port])
--------------------------------------------------------------------------------
12777 ping flujo activo NS 192.168.154.201 [512]/Trust-L3/1 (10.129.17.154 [512])
vsys1 2.2.2.2 [46874]/Untrust-L3 (2.2.2.2 [46874])
> Mostrar Session ID 12777
Sesión 12777
flujo de C2S:
Fuente: 192.168.154.201 [Trust-L3]
DST: 2.2.2.2
Proto: 1
deporte: 512 dport: 46874
Estado: tipo de Inicio: flujo
usuario fuente: desconocido
usuario de DST: desconocido
flujo de s2c:
Fuente: 2.2.2.2 [Untrust-L3]
DST: 10.129.17.154
Proto: 1
deporte: 46874 dport: 512
Estado: tipo de Inicio: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Fri Jul 4 21:50:24 2014
tiempo de espera: 6 segundos
cuenta total del octeto (C2S): 74
total bytes count(s2c): 0
count(c2s) paquete de layer7: 1
count(s2c) paquete de layer7: 0
vsys: vsys1
aplicación: ping
regla: TEST_EBL
sesión para iniciar sesión final: True
sesión en ager sesión: falso
sesión sincronizado de peer HA: falso
dirección/puerto traducción: fuente + destino
NAT-regla: NAT-a-Untrust (vsys1)
procesamiento de layer7: habilitado
Filtrado de URL habilitada: False
sesión vía cookies syn: falso
sesión terminada en host: falso
sesión atraviesa túnel: falso
sesión portal cautivo: falso
interfaz de entrada: ethernet1/3
interfaz de la salida: ethernet1/1
regla de QoS de sesión: N/A (clase 4)
Tracker Stage Firewall: envejecido
> Mostrar sesión todos
--------------------------------------------------------------------------------
ID aplicación estado tipo bandera fuente [deporte] zona/Proto (traducido de IP[Port])
Vsys Dst [Dport] zona (traducido de IP[Port])
--------------------------------------------------------------------------------
12783 ping flujo activo NS 192.168.154.201 [512]/Trust-L3/1 (10.129.17.154 [512])
vsys1 3.3.3.3 [47386]/Untrust-L3 (3.3.3.3 [47386])
> Mostrar Session ID 12783
Sesión 12783
flujo de C2S:
Fuente: 192.168.154.201 [Trust-L3]
DST: 3.3.3.3
Proto: 1
deporte: 512 dport: 47386
Estado: tipo de Inicio: flujo
usuario fuente: desconocido
usuario de DST: desconocido
flujo de s2c:
Fuente: 3.3.3.3 [Untrust-L3]
DST: 10.129.17.154
Proto: 1
deporte: 47386 dport: 512
Estado: tipo de Inicio: flujo
usuario fuente: desconocido
usuario de DST: desconocido
hora de Inicio: Fri Jul 4 21:50:52 2014
tiempo de espera: 6 segundos
cuenta total del octeto (C2S): 74
total bytes count(s2c): 0
count(c2s) paquete de layer7: 1
count(s2c) paquete de layer7: 0
vsys: vsys1
aplicación: ping
regla: TEST_EBL
sesión para iniciar sesión final: True
sesión en ager sesión: falso
sesión sincronizado de peer HA: falso
dirección/puerto traducción: fuente + destino
NAT-regla: NAT-a-Untrust (vsys1)
procesamiento de layer7: habilitado
Filtrado de URL habilitada: False
sesión vía cookies syn: falso
sesión terminada en host: falso
sesión atraviesa túnel: falso
sesión portal cautivo: falso
interfaz de entrada: ethernet1/3
interfaz de la salida: ethernet1/1
regla de QoS de sesión: N/A (clase 4)
Tracker Stage Firewall: envejecido
Permitir-desconfianza {
de [Trust-L3 DMZ-L3];
de la fuente
región de origen.
a untrust-L3;
destino;
región de destino.
usuario cualquier;
Categoría;
servicio de aplicación cualquier/cualquiera/cualquier/cualquiera;
acción permite;
terminal sí;
}
Ver también
Trabajar con formatos de lista (EBL) bloque externo y limitaciones
Propietario: hshah