Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
静态更新服务器在和 Firewall Panorama - Knowledge Base - Palo Alto Networks

静态更新服务器在和 Firewall Panorama

216220
Created On 03/23/21 01:41 AM - Last Modified 09/07/23 17:25 PM


Objective


  • 动态内容更新订阅服务可保护免受新发现的威胁。 在默认设置中 URL ,"updates.paloaltonetworks.com"用于提供这些更新。动态更新来自位于不同地理位置的更新服务器。 这会导致从不同的地址接收更新 IP 。
  • 当一个组织想要将更新限制为只有一个已知 IP 地址时,则可以使用"staticupdates.paloaltonetworks.com",而不是 IP 从"updates.paloaltonetworks.com"中动态选择地址
  • 更新服务器绝不应使用 IP 地址 - 通过这样做, SSL 将验证到我们的服务器禁用,从而将它们暴露给处于中间攻击中的人。
  • 本文为任何 Firewall 或 Panorama 想要使用"staticupdates.paloaltonetworks.com"提供了配置指南


NOTE:这些更改立即生效。


 



Environment


  • 任何 PAN-OS .
  • 威胁保护许可证。
  • 任何 Firewall 或 Panorama .


Procedure


以下是基于 Firewall / Panorama 或内部访问限制位置的配置步骤。 
 
  1. 对于从外部连接 中国大陆并想要继续使用动态内容服务器的防火墙或设备,请使用 URL "updates.paloaltonetworks.com"
更新服务器配置
 
  1. 在从中国大陆连接的防火墙或电器上URL,将"staticupdates.paloaltonetworks.com"修改为"updates.paloaltonetworks.cn"

  2. 在防火墙或受 IP URL "us-static.updates.paloaltonetworks.com"限制的出站流量的电器上。

NOTE:避免使用 IP 地址而不是 URL 地址。 这样做将打破 SSL / TLS SNI 验证。

  1. 如果 Firewall 需要使用出站安全性连接到静态更新服务器 Policy 以限制 IP 可用于更新的地址,则实施以下更改。
(a) 允许以下 IPv4 或 IPv6 地址:
35.186.202.45:443 和 34.120.74.244:443

[2600:1901:0:669::]:443 和 [2600:1901:0:5162:]:]443

(b) AND :
允许当前 IPv4 地址 199.167.52.15:443, 因为此IPv4 地址有效期至 2021 年 7 月 31 日

  1. 如果发现任何连接问题,请尝试以下:
  • 继续使用"staticupdates.paloaltonetworks.com",直到2021年7月31日,因为我们将支持这个服务器的轻松过渡。
  • 允许 IP 地址 199.167.52.15。
  • 打开支持案例

 



Additional Information


流程图
 


 

 


Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001UtRCAU&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language