静态更新服务器在和 Firewall Panorama

• 动态内容更新订阅服务可保护免受新发现的威胁。 在默认设置中 URL ，"updates.paloaltonetworks.com"用于提供这些更新。动态更新来自位于不同地理位置的更新服务器。 这会导致从不同的地址接收更新 IP 。
• 当一个组织想要将更新限制为只有一个已知 IP 地址时，则可以使用"staticupdates.paloaltonetworks.com"，而不是 IP 从"updates.paloaltonetworks.com"中动态选择地址
• 更新服务器绝不应使用 IP 地址 - 通过这样做， SSL 将验证到我们的服务器禁用，从而将它们暴露给处于中间攻击中的人。
• 本文为任何 Firewall 或 Panorama 想要使用"staticupdates.paloaltonetworks.com"提供了配置指南

NOTE：这些更改立即生效。

• 任何 PAN-OS .
• 威胁保护许可证。
• 任何 Firewall 或 Panorama .

1. 对于从外部连接 中国大陆并想要继续使用动态内容服务器的防火墙或设备，请使用 URL "updates.paloaltonetworks.com"

 

2. 在从中国大陆连接的防火墙或电器上URL，将"staticupdates.paloaltonetworks.com"修改为"updates.paloaltonetworks.cn"

3. 在防火墙或受 IP URL "us-static.updates.paloaltonetworks.com"限制的出站流量的电器上。

NOTE：避免使用 IP 地址而不是 URL 地址。 这样做将打破 SSL / TLS SNI 验证。

4. 如果 Firewall 需要使用出站安全性连接到静态更新服务器 Policy 以限制 IP 可用于更新的地址，则实施以下更改。

（b） AND ：
允许当前 IPv4 地址 199.167.52.15：443， 因为此IPv4 地址有效期至 2021 年 7 月 31 日。

5. 如果发现任何连接问题，请尝试以下：

• 继续使用"staticupdates.paloaltonetworks.com"，直到2021年7月31日，因为我们将支持这个服务器的轻松过渡。
• 允许 IP 地址 199.167.52.15。
• 打开支持案例

• 安装内容更新 文档详细描述了如何安装内容更新。
• 文章 IP 选择仅连接到静态更新时，附加地址是什么？提供了有关用于内容更新的其他地址的信息。
• 下面的流程图中说明的步骤，以帮助做出正确的选择。