ダイナミックブロックリストに誤ってフォーマットされた行が含まれている場合はどうなりますか。
Resolution
パロアルトネットワークファイアウォールは、誤ってフォーマットされた行を無視し、リストを処理し続けます。
詳細
次の例のダイナミックブロックリスト (外部ブロックリストとも呼ばれます) には、有効な ip/サブネット (2.2.2.0/24 および 3.3.3.0/24) が2つだけ含まれています。他の行が正しくフォーマットされていません。パロアルトネットワークのファイアウォールは、無効な行を無視し、唯一の処理は、有効です。
2.2.2.0/24
abcdefg
;
5.5/24
#
3.3.3.0/24
検証
オブジェクト > ダイナミックブロックリストに移動し、ブロックリストを作成します。
[宛先] フィールドの下のポリシーでブロックリストを構成します。次の例のポリシーは、TEST_EBL という名前です。
次のコマンドは、不適切な行も含まれているブロックリストを示しています。
> リクエストシステム外部リスト表示名 EBL1
vsys1/EBL1:
次の更新時: 金 Jul 4 22:00:11 2014
Ip アドレス:
2.2.2.0/24
abcdefg
;
5.5/24
#
3.3.3.0/24
次のコマンドは、法的 ip のみを受け付けるポリシー出力を示しています。2.2.2.0/24 と 3.3.3.0/24 のみが表示されることに注意してください。
> 実行中のセキュリティポリシーの表示
TEST_EBL {
;
ソースのいずれか。
震源域なし;
;
行先 [ 2.2.2.0/24 3.3.3.0/24 ];
送付先地域なし;
ユーザー。
カテゴリ。
アプリケーション/サービス/すべて/すべて/任意;
アクションを許可する;
ターミナルはい;
}
注: show セッション id の出力を表示すると、<id>さらに検証が行われます。</id>
ファイアウォールを介してテスト ping パケットを送信します。次に、セッションを観察します。
> すべてのセッションを表示
--------------------------------------------------------------------------------
ID アプリケーション状態型フラグ Src [スポーツ]/ゾーン/プロト (翻訳 IP[Port])
Vsys Dst [よ]/ゾーン (IP[Port]) の翻訳
--------------------------------------------------------------------------------
12777 pingアクティブフロー NS 192.168.154.201 [512]/trust-L3/1 (10.129.17.154 [512])
vsys1 2.2.2.2 [46874]/untrust-L3 (2.2.2.2 [46874])
> セッション id 12777 を表示
セッション12777
c2s の流れ:
ソース: 192.168.154.201 [トラスト-L3]
dst: 2.2.2.2
プロト: 1
スポーツ: 512 dport: 46874
状態: 初期化の種類: フロー
src ユーザー: 未知
dst ユーザー: 未知
s2c フロー:
出典: 2.2.2.2 [untrust-L3]
dst: 10.129.17.154
プロト: 1
スポーツ: 46874 dport: 512
状態: 初期化の種類: フロー
src ユーザー: 未知
dst ユーザー: 未知
開始時間: 金7月 4 21:50:24 2014
タイムアウト: 6 秒
合計バイト数 (c2s):74
count(s2c) バイトの合計: 0
layer7 パケット count(c2s): 1
layer7 パケット count(s2c): 0
vsys: vsys1
アプリケーション: ping
ルール: TEST_EBL
最後に記録されるセッション: 真
セッションでセッション: False
HA ピアから同期セッション: False
アドレス/ポート変換: 元 + 転送先
nat ルール: nat-untrust (vsys1)
layer7 処理: 有効になっています。
URL フィルターを有効に: False
syn クッキーを介してセッション: False
ホスト セッションを終了: False
セッションは、トンネルを通過する: False
非脱落型ポータル セッション: False
イングレスインタ フェース: ethernet1/3
出口インターフェイス: ethernet1/1
セッション QoS ルール: N/A (クラス 4)
トラッカーステージファイアウォール: エージングアウト
> すべてのセッションを表示
--------------------------------------------------------------------------------
ID アプリケーション状態型フラグ Src [スポーツ]/ゾーン/プロト (翻訳 IP[Port])
Vsys Dst [よ]/ゾーン (IP[Port]) の翻訳
--------------------------------------------------------------------------------
12783 ping アクティブフロー NS 192.168.154.201 [512]/trust-L3/1 (10.129.17.154 [512])
vsys1 3.3.3.3 [47386]/untrust-L3 (3.3.3.3 [47386])
> セッション id 12783 を表示
セッション12783
c2s の流れ:
ソース: 192.168.154.201 [トラスト-L3]
dst: 3.3.3.3
プロト: 1
スポーツ: 512 dport: 47386
状態: 初期化の種類: フロー
src ユーザー: 未知
dst ユーザー: 未知
s2c フロー:
出典: 3.3.3.3 [untrust-L3]
dst: 10.129.17.154
プロト: 1
スポーツ: 47386 dport: 512
状態: 初期化の種類: フロー
src ユーザー: 未知
dst ユーザー: 未知
開始時間: 金7月 4 21:50:52 2014
タイムアウト: 6 秒
合計バイト数 (c2s):74
count(s2c) バイトの合計: 0
layer7 パケット count(c2s): 1
layer7 パケット count(s2c): 0
vsys: vsys1
アプリケーション: ping
ルール: TEST_EBL
最後に記録されるセッション: 真
セッションでセッション: False
HA ピアから同期セッション: False
アドレス/ポート変換: 元 + 転送先
nat ルール: nat-untrust (vsys1)
layer7 処理: 有効になっています。
URL フィルターを有効に: False
syn クッキーを介してセッション: False
ホスト セッションを終了: False
セッションは、トンネルを通過する: False
非脱落型ポータル セッション: False
イングレスインタ フェース: ethernet1/3
出口インターフェイス: ethernet1/1
セッション QoS ルール: N/A (クラス 4)
トラッカーステージファイアウォール: エージングアウト
許可-Untrust {
[トラスト-l3 DMZ-l3] から
ソースのいずれか。
震源域なし;
untrust L3; に
コピー先。
送付先地域なし;
ユーザー。
カテゴリ。
アプリケーション/サービス/すべて/すべて/任意;
アクションを許可する;
ターミナルはい;
}
また見なさい
所有者: hshah