静态更新服务器在和 Firewall Panorama
216220
Created On 03/23/21 01:41 AM - Last Modified 09/07/23 17:25 PM
Objective
- 动态内容更新订阅服务可保护免受新发现的威胁。 在默认设置中 URL ,"updates.paloaltonetworks.com"用于提供这些更新。动态更新来自位于不同地理位置的更新服务器。 这会导致从不同的地址接收更新 IP 。
- 当一个组织想要将更新限制为只有一个已知 IP 地址时,则可以使用"staticupdates.paloaltonetworks.com",而不是 IP 从"updates.paloaltonetworks.com"中动态选择地址
- 更新服务器绝不应使用 IP 地址 - 通过这样做, SSL 将验证到我们的服务器禁用,从而将它们暴露给处于中间攻击中的人。
- 本文为任何 Firewall 或 Panorama 想要使用"staticupdates.paloaltonetworks.com"提供了配置指南
NOTE:这些更改立即生效。
Environment
- 任何 PAN-OS .
- 威胁保护许可证。
- 任何 Firewall 或 Panorama .
Procedure
以下是基于 Firewall / Panorama 或内部访问限制位置的配置步骤。
- 对于从外部连接 中国大陆并想要继续使用动态内容服务器的防火墙或设备,请使用 URL "updates.paloaltonetworks.com"
在从中国大陆连接的防火墙或电器上URL,将
"staticupdates.paloaltonetworks.com"修改为"updates.paloaltonetworks.cn"在防火墙或受 IP URL "us-static.updates.paloaltonetworks.com"限制的出站流量的电器上。
NOTE:避免使用 IP 地址而不是 URL 地址。 这样做将打破 SSL / TLS SNI 验证。
- 如果 Firewall 需要使用出站安全性连接到静态更新服务器 Policy 以限制 IP 可用于更新的地址,则实施以下更改。
(a) 允许以下 IPv4 或 IPv6 地址:
35.186.202.45:443 和 34.120.74.244:443
或
[2600:1901:0:669::]:443 和 [2600:1901:0:5162:]:]443
[2600:1901:0:669::]:443 和 [2600:1901:0:5162:]:]443
(b) AND :
允许当前 IPv4 地址 199.167.52.15:443, 因为此IPv4 地址有效期至 2021 年 7 月 31 日。
- 如果发现任何连接问题,请尝试以下:
- 继续使用"staticupdates.paloaltonetworks.com",直到2021年7月31日,因为我们将支持这个服务器的轻松过渡。
- 允许 IP 地址 199.167.52.15。
- 打开支持案例
Additional Information
- 安装内容更新 文档详细描述了如何安装内容更新。
- 文章 IP 选择仅连接到静态更新时,附加地址是什么?提供了有关用于内容更新的其他地址的信息。
- 下面的流程图中说明的步骤,以帮助做出正确的选择。