Configuration du serveur de mise à jour lorsque le serveur de mise à jour statique est utilisé dans Firewall et Panorama

• Le service d’abonnement pour les mises à jour de contenu dynamique offre une protection contre les menaces nouvellement visibles. Dans un paramètre par défaut, le URL "updates.paloaltonetworks.com" est utilisé pour fournir ces mises à jour.Les mises à jour dynamiques proviennent de serveurs de mise à jour situés dans différents emplacements géographiques. Il en résulte des mises à jour reçues de différentes IP adresses.
• Lorsqu’une organisation souhaite restreindre les mises à jour à une seule IP adresse connue, alors "staticupdates.paloaltonetworks.com" peut être utilisé à la place de la sélection dynamique d’adresses IP à partir de "updates.paloaltonetworks.com»
• Update Server ne devrait jamais utiliser IP l’adresse - ce faisant, la vérification de nos serveurs est désactivée, ce SSL qui les expose à une attaque de l’homme du milieu.
• L’article fournit des instructions de configuration pour tout Firewall ou souhaitant utiliser " Panorama staticupdates.paloaltonetworks.com»

NOTE: Ces modifications sont en vigueur immédiatement.

• Tout PAN-OS .
• Licence de protection contre les menaces.
• Tout Firewall ou Panorama .

1. Pour les pare-feu ou les appliances qui se connectent depuis l’extérieur de la Chine continentale et qui souhaitent continuer à utiliser le serveur de contenu dynamique, utilisez le URL « updates.paloaltonetworks.com »

 

2. Sur les pare-feu ou les appliances URL qui se connectent depuis la Chine continentale, modifiez le de «staticupdates.paloaltonetworks.com» à «updates.paloaltonetworks.cn»

3. Sur les pare-feu ou les appliances dont l’accès au trafic sortant est limité par IP , utilisez le URL us-static.updates.paloaltonetworks.com.

NOTE: Évitez d’utiliser une IP adresse au lieu d’un URL fichier . Cela brisera la SSL TLS SNI / vérification.

4. Si le Firewall doit se connecter au serveur de mise à jour statique à l’aide de la sécurité sortante Policy pour limiter les adresses disponibles pour les mises à IP jour, implémentez la modification suivante.

(b) AND :
Autorisez l’adresse IPv4 actuelle 199.167.52.15:443 car cette adresse IPv4 est valide jusqu’au 31 juillet 2021.

5. Si des problèmes de connexion sont détectés, essayez ce qui suit :

• Continuez à utiliser « staticupdates.paloaltonetworks.com » jusqu’au 31 juillet 2021 car nous soutiendrons ce serveur pour une transition facile.
• Autoriser IP l’adresse 199.167.52.15.
• Ouvrir un dossier de soutien

• Le document Installer les mises à jour de contenu décrit comment installer les mises à jour de contenu en détail.
• L’article Quelles sont les adresses supplémentaires lorsque vous avez choisi de vous connecter uniquement aux mises à IP jour statiques fournit des informations sur les adresses supplémentaires utilisées pour une mise à jour de contenu.
• Étapes illustrées dans le diagramme ci-dessous pour vous aider à faire les bons choix.