静的更新サーバーが 使用されている場合の更新サーバーの構成 Firewall および Panorama
216220
Created On 03/23/21 01:41 AM - Last Modified 09/07/23 17:25 PM
Objective
- 動的コンテンツ更新用のサブスクリプション サービスは、新たに見られた脅威に対する保護を提供します。 既定の設定では、 URL これらの更新プログラムを提供するために "updates.paloaltonetworks.com" が使用されます。動的更新は、地理的に異なる場所に配置された更新サーバーから取得されます。 これにより、異なるアドレスから更新が受信 IP されます。
- 組織が更新を 1 つの既知のアドレスのみに制限する IP 場合は、"staticupdates.paloaltonetworks.com" を動的に選択するのではなく、 " updates.paloaltonetworks.com " から動的に選択することができます IP 。
- Update Server はアドレスを使用しないでください IP - そうすることで、 SSL サーバーへの検証が無効になり、中間攻撃のユーザーに公開されます。
- この資料では Firewall Panorama 、"staticupdates.paloaltonetworks.com"を使用する場合の構成ガイドラインを示します。
NOTE: これらの変更は直ちに有効になります。
Environment
- 任意 PAN-OS の .
- 脅威保護ライセンス。
- 任意 Firewall または Panorama .
Procedure
Firewall以下は、/ Panorama または内部アクセス制限の場所に基づく構成手順です。
- 中国本土以外から接続し、動的コンテンツサーバーを引き続き使用したいファイアウォールまたはアプライアンスについては URL 、「updates.paloaltonetworks.com」
中国本土から接続するファイアウォールまたはアプライアンスでURL
、staticupdates.paloaltonetworks.com から"updates.paloaltonetworks.cn" に変更します。によって制限された送信トラフィックへのアクセスを持つファイアウォールまたはアプライアンスで、 IP URL " us-static.updates.paloaltonetworks.com" を使用します。
NOTE: アドレスの IP 代わりに URL . そうすることで/検証を破ります SSL TLS SNI 。
- Firewall送信セキュリティを使用して静的更新サーバーに接続して Policy IP 、更新に使用できるアドレスを制限する必要がある場合は、次の変更を実装します。
(a) 次の IPv4 または IPv6 アドレスを許可します。
35.186.202.45:443 および 34.120.74.244:443
または
[2600:1901:0:669::]:443と[2600:1901:0:5162::]:443
[2600:1901:0:669::]:443と[2600:1901:0:5162::]:443
(b) AND :
この IPv4 アドレスは2021年 7 月 31 日まで有効であるため、現在の IPv4 アドレス 199.167.52.15:443 を許可します。
- 接続に問題がある場合は、次の手順を実行してください。
- このサーバーを簡単に移行するためにサポートするため、2021年7月31日まで「staticupdates.paloaltonetworks.com」を引き続き活用します。
- IPアドレス 199.167.52.15 を許可します。
- サポートケースを開く
Additional Information
- コンテンツ更新のインストール に関するドキュメントでは、コンテンツの更新をインストールする方法について詳しく説明します。
- 「 IP 静的更新プログラムのみに接続することを選択した場合の追加アドレスは何ですか」では、コンテンツの更新に使用される追加アドレスに関する情報が提供されます。
- 正しい選択を行うために、次のフロー図に示す手順を示します。