Que se passe-t-il lorsque la liste de blocage dynamique contient des lignes incorrectement mises en forme?
Resolution
Le pare-feu de Palo Alto Networks ignorera toutes les lignes mal formatées, et continuera à traiter la liste.
Détails
L'exemple de liste de blocage dynamique (également appelée liste de blocage externe) ci-dessous ne contient que deux IPS/sous-réseaux valides (2.2.2.0/24 et 3.3.3.0/24). Les autres lignes ne sont pas correctement formatées. Le pare-feu de Palo Alto Networks ignorera les lignes non valides et ne traitera que les valides.
2.2.2.0/24
ABCDEFG
;
5,5/24
#
3.3.3.0/24
Vérification
Aller à l'objet > Dynamic Block listes et créer la liste de blocage:
Configurez la liste de blocage dans une stratégie sous le champ destination. L'exemple de stratégie ci-dessous est nommé, TEST_EBL:
La commande suivante affiche la liste de blocage, qui inclut également les lignes incorrectes.
> demande système externe-liste Afficher nom EBL1
vsys1/EBL1:
Prochaine mise à jour à: Fri Jul 4 22:00:11 2014
IPs :
2.2.2.0/24
ABCDEFG
;
5,5/24
#
3.3.3.0/24
La commande suivante affiche la sortie de stratégie, qui accepte uniquement les adresses IP légales. Notez que seuls 2.2.2.0/24 et 3.3.3.0/24 apparaissent:
> afficher la stratégie de sécurité en cours d'exécution
TEST_EBL {
de n’importe lequel ;
source de tout ;
source-région aucune ;
à tout ;
destination [ 2.2.2.0/24 3.3.3.0/24 ];
Destination-région aucune ;
l’utilisateur y a lieu ;
catégorie tout ;
application/service tout/tout/toute/toutes ;
action le permettent ;
Oui terminal ;
}
Remarque: l'affichage de la sortie de Show session ID <id>fournit une vérification supplémentaire.</id>
Envoyez un paquet de test ping via le pare-feu. Ensuite, observez la session:
> illustrent toutes les session
--------------------------------------------------------------------------------
ID Application État Type drapeau Src [Sport] / Zone/Proto (traduit IP[Port])
VSys Dst [Dport] / Zone (traduit IP[Port])
--------------------------------------------------------------------------------
12777 ping active Flow NS 192.168.154.201 [512]/Trust-L3/1 (10.129.17.154 [512])
vsys1 2.2.2.2 [46874]/Untrust-L3 (2.2.2.2 [46874])
> Show session ID 12777
Session 12777
C2S flux :
Source: 192.168.154.201 [Trust-L3]
DST: 2.2.2.2
proto : 1
sport: 512 dport: 46874
Etat : type INIT : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
S2C flux :
Source: 2.2.2.2 [Untrust-L3]
DST: 10.129.17.154
proto : 1
sport: 46874 dport: 512
Etat : type INIT : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
heure de début: Ven Jul 4 21:50:24 2014
Timeout : 6sec
nombre total d'octets (C2S): 74
total des octets count(s2c) : 0
layer7 paquet count(c2s) : 1
layer7 paquet count(s2c) : 0
VSys : vsys1
application : ping
règle: TEST_EBL
session d’être connecté à la fin : vrai
session en ager session : faux
session synchronisée de HA homologue : faux
adresse/port translation : source + destination
NAT-Rule: NAT-à-Untrust (vsys1)
traitement layer7 : activé
Activé le filtrage des URL : faux
session par l’intermédiaire de cookies syn : faux
session terminée sur l’hôte : faux
session traverse le tunnel : faux
session de portail captive : faux
interface entrée : ethernet1/3
interface de sortie: ethernet1/1
règle de QoS de session : N/D (classe 4)
Firewall étape Tracker: vieilli
> illustrent toutes les session
--------------------------------------------------------------------------------
ID Application État Type drapeau Src [Sport] / Zone/Proto (traduit IP[Port])
VSys Dst [Dport] / Zone (traduit IP[Port])
--------------------------------------------------------------------------------
12783 ping active Flow NS 192.168.154.201 [512]/Trust-L3/1 (10.129.17.154 [512])
vsys1 3.3.3.3 [47386]/Untrust-L3 (3.3.3.3 [47386])
> Show session ID 12783
Session 12783
C2S flux :
Source: 192.168.154.201 [Trust-L3]
DST: 3.3.3.3
proto : 1
sport: 512 dport: 47386
Etat : type INIT : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
S2C flux :
Source: 3.3.3.3 [Untrust-L3]
DST: 10.129.17.154
proto : 1
sport: 47386 dport: 512
Etat : type INIT : FLOW
utilisateur de SRC : inconnu
l’utilisateur DST : inconnu
heure de début: Ven Jul 4 21:50:52 2014
Timeout : 6sec
nombre total d'octets (C2S): 74
total des octets count(s2c) : 0
layer7 paquet count(c2s) : 1
layer7 paquet count(s2c) : 0
VSys : vsys1
application : ping
règle: TEST_EBL
session d’être connecté à la fin : vrai
session en ager session : faux
session synchronisée de HA homologue : faux
adresse/port translation : source + destination
NAT-Rule: NAT-à-Untrust (vsys1)
traitement layer7 : activé
Activé le filtrage des URL : faux
session par l’intermédiaire de cookies syn : faux
session terminée sur l’hôte : faux
session traverse le tunnel : faux
session de portail captive : faux
interface entrée : ethernet1/3
interface de sortie: ethernet1/1
règle de QoS de session : N/D (classe 4)
Firewall étape Tracker: vieilli
Autoriser la non-approbation {
de [Trust-L3 DMZ-L3];
source de tout ;
source-région aucune ;
à untrust-L3 ;
destination tout ;
Destination-région aucune ;
l’utilisateur y a lieu ;
catégorie tout ;
application/service tout/tout/toute/toutes ;
action le permettent ;
Oui terminal ;
}
Voir aussi
Travailler avec les Limitations et externes bloquer les Formats de liste (EBL)
propriétaire : hshah