PaloAlto防火墙调用外部地址列表的方法

在护网行动中,大家都会在防火墙上添加很多黑名单IP。频繁添加IP或者有大批量的IP地址需要添加时,防火墙操作比较繁琐 。对于PaloAlto防火墙,有一个外部动态地址列表的功能可以方便大家使用。

在一个web服务器上创建一个文本文件,把IP列表放入这个文件,每一行一个IP。可以配置获取列表间隔选项,以每小时、每天、每周或每月自动更新设备上的IP列表。创建动态地址列表对象后,可以在安全策略的源字段和目标字段中使用地址对象,配置好这个后,防火墙按照指定的时间间隔去读取IP列表的内容,自动在策略里面生效,后续添加地址只需要更新web服务器上的地址列表文件即可。

每个导入的列表可包含最多 5000 个IP 地址(IPv4 和/或 IPv6)、IP 范围或子网。

此列表的每行必须包含一个 IP 地址、范围或子网,例如:

192.168.1.1-192.168.1.3

192.168.20.0/24

192.168.30.1/32

192.168.40.1

如果这个列表被清空或者文件被删除,防火墙将会使用上次获取到的列表配置策略。

配置方法:

1、搭建一个web服务器,放置ip地址列表文件。列表文件要求如上。确认权限配置正确,该列表文件可以正常访问。

《PaloAlto防火墙调用外部地址列表的方法》

2、在防火墙上Objects—外部动态列表—添加,配置一个外部动态列表。

《PaloAlto防火墙调用外部地址列表的方法》

名称:该动态列表的名称,后面策略里面调用的也是这个名称。

类型:IP List,Domainlist ,URL list 。根据列表类容来选。

源:指定IP列表存放的位置。

重复:选择防火墙去服务器读取IP地址列表的时间间隔。

3、在策略里面调用动态地址列表,可以作为源地址或者目标地址。

《PaloAlto防火墙调用外部地址列表的方法》

4、确认动态地址列表状态

admin@PA-VM> request system external-listshow type ip name blacklist

vsys1/blacklist:

Next update at        : Tue Jun 1117:46:47 2019

Source                :http://192.168.10.254:8080/H%3A/blacklist.txt

Referenced            : Yes

Valid                 : Yes

Total valid entries   : 4

Total invalid entries : 0

Valid ips:

192.168.1.1-192.168.1.3

192.168.20.0/24

192.168.30.1/32

192.168.40.1

如果地址列表未被策略调用,会有提示

admin@PA-VM> request systemexternal-list show type ip name blacklist_test

Server error : external dynamic listvsys1/blacklist_test not used in rule

5、确认策略配置

show running security-policy

admin@PA-VM> show runningsecurity-policy

“deny blacklist” {

from any;

source[ 192.168.1.1-192.168.1.3 192.168.20.0/24 192.168.30.1 192.168.40.1 ];

source-region none;

to any;

destination any;

destination-region none;

user any;

category any;

application/service any/any/any/any;

action allow;

icmp-unreachable: no

terminal yes;

}

如果中间有错误的IP或者不识别的字符会跳过,不影响其它正常的IP,如下例子:

admin@PA-VM> request systemexternal-list show type ip name blacklist_test

vsys1/blacklist_test:

Next update at        : ThuJan  1 08:00:00 1970

Source                : http://192.168.10.254:8080/H%3A/blacklist.txt

Referenced            : Yes

Valid                 : Yes

Total valid entries   : 4

Total invalid entries : 1

Valid ips:

192.168.1.1-192.168.1.3

192.168.20.0/24

192.168.30.1/32

192.168.40.1

Invalid ips:

Any

6、服务路由配置

防火墙默认会以管理地址与服务器通信,如果要更改通信接口,可在Device—设置—服务功能下面配置

《PaloAlto防火墙调用外部地址列表的方法》

 

点赞
  1. film说道:

    Very good article! We are linking to this great post on our website. Keep up the good writing. Jim Or

发表评论

邮箱地址不会被公开。 必填项已用*标注