在护网行动中,大家都会在防火墙上添加很多黑名单IP。频繁添加IP或者有大批量的IP地址需要添加时,防火墙操作比较繁琐 。对于PaloAlto防火墙,有一个外部动态地址列表的功能可以方便大家使用。
在一个web服务器上创建一个文本文件,把IP列表放入这个文件,每一行一个IP。可以配置获取列表间隔选项,以每小时、每天、每周或每月自动更新设备上的IP列表。创建动态地址列表对象后,可以在安全策略的源字段和目标字段中使用地址对象,配置好这个后,防火墙按照指定的时间间隔去读取IP列表的内容,自动在策略里面生效,后续添加地址只需要更新web服务器上的地址列表文件即可。
每个导入的列表可包含最多 5000 个IP 地址(IPv4 和/或 IPv6)、IP 范围或子网。
此列表的每行必须包含一个 IP 地址、范围或子网,例如:
192.168.1.1-192.168.1.3
192.168.20.0/24
192.168.30.1/32
192.168.40.1
如果这个列表被清空或者文件被删除,防火墙将会使用上次获取到的列表配置策略。
配置方法:
1、搭建一个web服务器,放置ip地址列表文件。列表文件要求如上。确认权限配置正确,该列表文件可以正常访问。
2、在防火墙上Objects—外部动态列表—添加,配置一个外部动态列表。
名称:该动态列表的名称,后面策略里面调用的也是这个名称。
类型:IP List,Domainlist ,URL list 。根据列表类容来选。
源:指定IP列表存放的位置。
重复:选择防火墙去服务器读取IP地址列表的时间间隔。
3、在策略里面调用动态地址列表,可以作为源地址或者目标地址。
4、确认动态地址列表状态
admin@PA-VM> request system external-listshow type ip name blacklist
vsys1/blacklist:
Next update at : Tue Jun 1117:46:47 2019
Source :http://192.168.10.254:8080/H%3A/blacklist.txt
Referenced : Yes
Valid : Yes
Total valid entries : 4
Total invalid entries : 0
Valid ips:
192.168.1.1-192.168.1.3
192.168.20.0/24
192.168.30.1/32
192.168.40.1
如果地址列表未被策略调用,会有提示
admin@PA-VM> request systemexternal-list show type ip name blacklist_test
Server error : external dynamic listvsys1/blacklist_test not used in rule
5、确认策略配置
show running security-policy
admin@PA-VM> show runningsecurity-policy
“deny blacklist” {
from any;
source[ 192.168.1.1-192.168.1.3 192.168.20.0/24 192.168.30.1 192.168.40.1 ];
source-region none;
to any;
destination any;
destination-region none;
user any;
category any;
application/service any/any/any/any;
action allow;
icmp-unreachable: no
terminal yes;
}
如果中间有错误的IP或者不识别的字符会跳过,不影响其它正常的IP,如下例子:
admin@PA-VM> request systemexternal-list show type ip name blacklist_test
vsys1/blacklist_test:
Next update at : ThuJan 1 08:00:00 1970
Source : http://192.168.10.254:8080/H%3A/blacklist.txt
Referenced : Yes
Valid : Yes
Total valid entries : 4
Total invalid entries : 1
Valid ips:
192.168.1.1-192.168.1.3
192.168.20.0/24
192.168.30.1/32
192.168.40.1
Invalid ips:
Any
6、服务路由配置
防火墙默认会以管理地址与服务器通信,如果要更改通信接口,可在Device—设置—服务功能下面配置
Very good article! We are linking to this great post on our website. Keep up the good writing. Jim Or