Configuration du serveur de mise à jour lorsque le serveur de mise à jour statique est utilisé dans Firewall et Panorama
216220
Created On 03/23/21 01:41 AM - Last Modified 09/07/23 17:25 PM
Objective
- Le service d’abonnement pour les mises à jour de contenu dynamique offre une protection contre les menaces nouvellement visibles. Dans un paramètre par défaut, le URL "updates.paloaltonetworks.com" est utilisé pour fournir ces mises à jour.Les mises à jour dynamiques proviennent de serveurs de mise à jour situés dans différents emplacements géographiques. Il en résulte des mises à jour reçues de différentes IP adresses.
- Lorsqu’une organisation souhaite restreindre les mises à jour à une seule IP adresse connue, alors "staticupdates.paloaltonetworks.com" peut être utilisé à la place de la sélection dynamique d’adresses IP à partir de "updates.paloaltonetworks.com»
- Update Server ne devrait jamais utiliser IP l’adresse - ce faisant, la vérification de nos serveurs est désactivée, ce SSL qui les expose à une attaque de l’homme du milieu.
- L’article fournit des instructions de configuration pour tout Firewall ou souhaitant utiliser " Panorama staticupdates.paloaltonetworks.com»
NOTE: Ces modifications sont en vigueur immédiatement.
Environment
- Tout PAN-OS .
- Licence de protection contre les menaces.
- Tout Firewall ou Panorama .
Procedure
Voici les étapes de configuration en fonction de l’emplacement des Firewall restrictions Panorama d’accès internes.
- Pour les pare-feu ou les appliances qui se connectent depuis l’extérieur de la Chine continentale et qui souhaitent continuer à utiliser le serveur de contenu dynamique, utilisez le URL « updates.paloaltonetworks.com »
Sur les pare-feu ou les appliances URL qui se connectent depuis la Chine continentale, modifiez le de «
staticupdates.paloaltonetworks.com» à «updates.paloaltonetworks.cn»Sur les pare-feu ou les appliances dont l’accès au trafic sortant est limité par IP , utilisez le URL us-static.updates.paloaltonetworks.com.
NOTE: Évitez d’utiliser une IP adresse au lieu d’un URL fichier . Cela brisera la SSL TLS SNI / vérification.
- Si le Firewall doit se connecter au serveur de mise à jour statique à l’aide de la sécurité sortante Policy pour limiter les adresses disponibles pour les mises à IP jour, implémentez la modification suivante.
(a) Autoriser ces adresses IPv4 ou IPv6 :
35.186.202.45:443 et 34.120.74.244:443
Ou
[2600:1901:0:669::]:443 et [2600:1901:0:5162::]:443
[2600:1901:0:669::]:443 et [2600:1901:0:5162::]:443
(b) AND :
Autorisez l’adresse IPv4 actuelle 199.167.52.15:443 car cette adresse IPv4 est valide jusqu’au 31 juillet 2021.
- Si des problèmes de connexion sont détectés, essayez ce qui suit :
- Continuez à utiliser « staticupdates.paloaltonetworks.com » jusqu’au 31 juillet 2021 car nous soutiendrons ce serveur pour une transition facile.
- Autoriser IP l’adresse 199.167.52.15.
- Ouvrir un dossier de soutien
Additional Information
- Le document Installer les mises à jour de contenu décrit comment installer les mises à jour de contenu en détail.
- L’article Quelles sont les adresses supplémentaires lorsque vous avez choisi de vous connecter uniquement aux mises à IP jour statiques fournit des informations sur les adresses supplémentaires utilisées pour une mise à jour de contenu.
- Étapes illustrées dans le diagramme ci-dessous pour vous aider à faire les bons choix.