动态阻止列表中包含格式不正确的行时会发生什么情况?
Resolution
帕洛阿尔托网络防火墙将忽略任何格式不正确的行, 并将继续处理该列表。
详细
下面的示例动态阻止列表 (也称为外部阻止列表) 仅包含两个有效的 IPs/子网 (2.2. 2.0/24 和 3.3. 3.0/24)。其他行的格式不正确。帕洛阿尔托网络防火墙将忽略无效的行, 只处理有效的线路。
2.2. 2.0/24
abcdefg
;
5.5/24
#
3.3. 3.0/24
验证
转到对象 > 动态阻止列表并创建阻止列表:
在目标字段下的策略中配置阻止列表。下面的示例策略命名为 TEST_EBL:
下面的命令显示阻止列表, 其中也包括不正确的行。
>> 请求系统外部列表显示名称 EBL1
vsys1/EBL1:
下一页更新日期: 周五 7月4日 22:00:2014 年 11
Ip 地址︰
2.2. 2.0/24
abcdefg
;
5.5/24
#
3.3. 3.0/24
下面的命令显示策略输出, 它只接受合法的 IPs。请注意, 只有 2.2. 2.0/24 和 3.3. 3.0/24 出现:
>> 显示运行安全策略
TEST_EBL {
从任何;
源
源区无;
对任何;
目的地 [ 2.2. 2.0/24 3.3. 3.0/24 ];
目标地区无;
用户任何;
类别;
应用程序/服务/任何/任何/任意;
操作允许;
终端是;
}
注意:查看显示会话 id 的输出<id>提供了进一步的验证.</id>
通过防火墙发送测试 ping 数据包。然后, 观察会话:
> 显示所有会话
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育] 区/原始 (翻译 IP[Port])
Vsys Dst [Dport] / 区 (翻译 IP[Port])
--------------------------------------------------------------------------------
12777平活动流 NS 192.168.154.201 [512]/信任-L3/1 (10.129.17.154 [512])
vsys1 2.2. 2.2 [46874]/不信任-L3 (2.2. 2.2 [46874])
>> 显示会话 id 12777
会话12777
c2s 流︰
来源: 192.168.154.201 [trust-L3]
dst: 2.2.2。2
原型︰ 1
体育: 512 dport: 46874
状态︰ 初始化类型︰ 流
src 用户︰ 未知
dst 用户︰ 未知
s2c 流︰
来源: 2.2.2.2 [untrust-L3]
dst: 10.129.17.154
原型︰ 1
体育: 46874 dport: 512
状态︰ 初始化类型︰ 流
src 用户︰ 未知
dst 用户︰ 未知
开始时间: 星期五 7月4日 21:50:24 2014
超时︰ 6 秒
总字节数 (c2s):74
总字节 count(s2c): 0
layer7 包 count(c2s): 1
layer7 包 count(s2c): 0
vsys: vsys1
应用︰ 坪
规则: TEST_EBL
会议结束时记录︰ 真实
会议在会议经理︰ 虚假
医管局对等方同步会话︰ 虚假
地址/端口翻译︰ 源 + 目的地
nat 规则: nat 到不信任 (vsys1)
layer7 处理︰ 启用
已启用 URL 筛选︰ 虚假
通过 syn cookie 的会话︰ 虚假
在主机上终止会话︰ 虚假
会议遍历隧道︰ 虚假
圈养的门户会话︰ 虚假
进入接口: ethernet1/3
出口接口: ethernet1/1
会议 QoS 规则︰ n/A (4 班)
跟踪器阶段防火墙: 过时
> 显示所有会话
--------------------------------------------------------------------------------
ID 应用程序状态类型标志 Src [体育] 区/原始 (翻译 IP[Port])
Vsys Dst [Dport] / 区 (翻译 IP[Port])
--------------------------------------------------------------------------------
12783平活动流 NS 192.168.154.201 [512]/信任-L3/1 (10.129.17.154 [512])
vsys1 3.3. 3.3 [47386]/不信任-L3 (3.3. 3.3 [47386])
>> 显示会话 id 12783
会话12783
c2s 流︰
来源: 192.168.154.201 [trust-L3]
dst: 3.3.3。3
原型︰ 1
体育: 512 dport: 47386
状态︰ 初始化类型︰ 流
src 用户︰ 未知
dst 用户︰ 未知
s2c 流︰
来源: 3.3.3.3 [untrust-L3]
dst: 10.129.17.154
原型︰ 1
体育: 47386 dport: 512
状态︰ 初始化类型︰ 流
src 用户︰ 未知
dst 用户︰ 未知
开始时间: 星期五 7月4日 21:50:52 2014
超时︰ 6 秒
总字节数 (c2s):74
总字节 count(s2c): 0
layer7 包 count(c2s): 1
layer7 包 count(s2c): 0
vsys: vsys1
应用︰ 坪
规则: TEST_EBL
会议结束时记录︰ 真实
会议在会议经理︰ 虚假
医管局对等方同步会话︰ 虚假
地址/端口翻译︰ 源 + 目的地
nat 规则: nat 到不信任 (vsys1)
layer7 处理︰ 启用
已启用 URL 筛选︰ 虚假
通过 syn cookie 的会话︰ 虚假
在主机上终止会话︰ 虚假
会议遍历隧道︰ 虚假
圈养的门户会话︰ 虚假
进入接口: ethernet1/3
出口接口: ethernet1/1
会议 QoS 规则︰ n/A (4 班)
跟踪器阶段防火墙: 过时
允许-不信任 {
从 [trust-L3 DMZ-L3];
源
源区无;
到不信任-L3;
目的地任何;
目标地区无;
用户任何;
类别;
应用程序/服务/任何/任何/任意;
操作允许;
终端是;
}
请参见
所有者: hshah