Konfiguration für Update-Server, wenn statischer Update-Server in und verwendet wird Firewall Panorama
194581
Created On 03/23/21 01:41 AM - Last Modified 09/07/23 17:25 PM
Objective
- Der Abonnementdienst für dynamische Inhaltsupdates bietet Schutz vor neu auftretend auftretenen Bedrohungen. In einer Standardeinstellung wird die URL "updates.paloaltonetworks.com" verwendet, um diese Updates bereitzustellen.Die dynamischen Updates stammen von Update-Servern, die sich an verschiedenen geografischen Standorten befinden. Dies führt dazu, dass Updates von verschiedenen Adressen empfangen IP werden.
- Wenn eine Organisation die Updates auf nur eine einzige bekannte Adresse beschränken IP möchte, kann anstelle der dynamischen Auswahl von Adressen aus " updates.paloaltonetworks.com "" staticupdates.paloaltonetworks.com" verwendet IP werden.
- Update Server sollte niemals die Adresse verwenden IP - dadurch wird die Überprüfung unserer Server SSL deaktiviert, wodurch sie einem Angriff ausgesetzt sind, der sich in der Mitte befindet."
- Der Artikel enthält Konfigurationsrichtlinien für alle Firewall oder die Verwendung von " Panorama staticupdates.paloaltonetworks.com"
NOTE: Diese Änderungen treten sofort in Kraft.
Environment
- Jede PAN-OS .
- Bedrohungsschutzlizenz.
- Beliebig Firewall oder Panorama .
Procedure
Im Folgenden finden Sie Konfigurationsschritte basierend auf dem Speicherort der Firewall / Panorama oder internen Zugriffsbeschränkungen.
- Für Firewalls oder Appliances, die sich von außerhalb des chinesischen Festlands verbinden und den dynamischen Content-Server weiterhin verwenden möchten, verwenden Sie die URL "updates.paloaltonetworks.com"
Ändern Sie auf den Firewalls oder Appliances, die vom chinesischen Festland aus eine Verbindung herstellen, die URL Option von "
staticupdates.paloaltonetworks.com" in "updates.paloaltonetworks.cn"Verwenden Sie auf den Firewalls oder Appliances, die Zugriff auf ausgehenden Datenverkehr haben, die durch IP eingeschränkt sind, die URL "us-static.updates.paloaltonetworks.com".
NOTE: Vermeiden Sie die Verwendung einer IP Adresse anstelle einer URL . Wenn Sie dies tun, wird die SSL / TLS SNI Verifizierung gebrochen.
- Wenn eine Firewall Verbindung mit dem statischen Updateserver mithilfe der ausgehenden Sicherheit hergestellt werden Policy muss, um die für Updates IP verfügbaren Adressen einzuschränken, implementieren Sie die folgende Änderung.
(a) Erlauben Sie diese IPv4- oder IPv6-Adressen:
35.186.202.45:443 und 34.120.74.244:443
Oder
[2600:1901:0:669::]:443 und [2600:1901:0:5162::]:443
[2600:1901:0:669::]:443 und [2600:1901:0:5162::]:443
(b) AND : Erlauben Sie die aktuelle
IPv4-Adresse 199.167.52.15:443, da diese IPv4-Adresse bis zum 31. Juli 2021gültig ist.
- Wenn Verbindungsprobleme gefunden werden, versuchen Sie Folgendes:
- Verwenden Sie weiterhin "staticupdates.paloaltonetworks.com" bis zum 31. Juli 2021, da wir diesen Server für einen einfachen Übergang unterstützen werden.
- Adresse IP 199.167.52.15 zulassen.
- Öffnen eines Support-Falls
Additional Information
- Im Dokument Zum Installieren von Inhaltsupdates wird ausführlich beschrieben, wie Inhaltsupdates installiert werden.
- Der Artikel Was sind die zusätzliche IP Adresse, wenn Sie sich dafür entscheiden, nur eine Verbindung mit statischen Updates herzustellen, enthält Informationen zu den zusätzlichen Adressen, die für eine Inhaltsaktualisierung verwendet werden.
- Schritte, die im folgenden Flussdiagramm dargestellt sind, um die richtige Auswahl zu treffen.