Configuración para el servidor de actualización cuando se utiliza el servidor de actualización estática en Firewall y Panorama
216220
Created On 03/23/21 01:41 AM - Last Modified 09/07/23 17:25 PM
Objective
- El servicio de suscripción para actualizaciones dinámicas de contenido proporciona protección contra las amenazas recién vistas. En una configuración predeterminada, el URL "updates.paloaltonetworks.com" se utiliza para proporcionar estas actualizaciones.Las actualizaciones dinámicas proceden de servidores de actualizaciones ubicados en diferentes ubicaciones geográficas. Esto hace que se reciban actualizaciones de direcciones IP diferentes.
- Cuando una organización desea restringir las actualizaciones a una sola IP dirección conocida, se puede usar "staticupdates.paloaltonetworks.com" en lugar de la selección dinámica de direcciones de IP "updates.paloaltonetworks.com"
- Update Server nunca debe usar IP la dirección: al hacerlo, SSL la verificación de nuestros servidores está deshabilitada, lo que los expone a un ataque de hombre en el medio".
- El artículo proporciona pautas de configuración para cualquiera Firewall o que desee utilizar " Panorama staticupdates.paloaltonetworks.com"
NOTE: estos cambios son efectivos inmediatamente.
Environment
- Cualquier PAN-OS archivo .
- Licencia de protección contra amenazas.
- Cualquiera Firewall o Panorama .
Procedure
A continuación se muestran los pasos de configuración basados en la ubicación de las Firewall / o restricciones de acceso Panorama interno.
- Para los firewalls o dispositivos que se conectan desde fuera de China continental y desean seguir utilizando el servidor de contenido dinámico, utilice el URL "updates.paloaltonetworks.com"
En los firewalls o dispositivos que se URL conectan desde China continental, modifique el de "
staticupdates.paloaltonetworks.com" a "updates.paloaltonetworks.cn"En los cortafuegos o dispositivos que tienen acceso al tráfico saliente restringido por IP , utilice la opción URL "us-static.updates.paloaltonetworks.com".
NOTE: Evite utilizar una IP dirección en lugar de un archivo URL . Si lo hace, se romperá la SSL TLS SNI / verificación.
- Si Firewall necesita conectarse al servidor de actualizaciones estáticas mediante seguridad saliente Policy para limitar las direcciones disponibles para las IP actualizaciones, implemente el siguiente cambio.
(a) Permitir estas direcciones IPv4 o IPv6:
35.186.202.45:443 y 34.120.74.244:443
O
[2600:1901:0:669::]:443 y [2600:1901:0:5162::]:443
[2600:1901:0:669::]:443 y [2600:1901:0:5162::]:443
(b) AND : Permitir la dirección
IPv4 actual 199.167.52.15:443 ya que esta dirección IPv4 es válida hasta el 31 de julio de 2021.
- Si se encuentra algún problema de conexión, intente lo siguiente:
- Continúe utilizando "staticupdates.paloaltonetworks.com" hasta el 31 de julio de 2021, ya que admitiremos este servidor para una transición fácil.
- Permitir IP la dirección 199.167.52.15.
- Abrir un caso de soporte
Additional Information
- El documento Instalar actualizaciones de contenido describe cómo instalar actualizaciones de contenido en detalle.
- El artículo ¿Cuáles son las direcciones adicionales IP cuando elige conectarse solo a actualizaciones estáticas? proporciona información acerca de las direcciones adicionales que se usan para una actualización de contenido.
- Pasos que se ilustran en el diagrama de flujo siguiente para ayudar a tomar decisiones correctas.