外部ブロック リスト (EBL) のフォーマットと制限の操作

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Working with External Block List (EBL) Formats and Limitations
https://live.paloaltonetworks.com/t5/Learning-Articles/Working-with-External-Block-List-EBL-Formats-...

 

訳注:本文書で紹介するダイナミック ブロック リストはPAN-OS 5.0以降が対象です。

 

概要

PAN-OS 5.0 で導入された ダイナミック ブロック リスト(Objects >ダイナミック ブロック リスト)を使用すると、外部で作成された IP アドレスのリストをインポートしセキュリティ ポリシーの中でアドレス オブジェクトとして使用することが可能になります。このドキュメントでは、IP アドレス リスト用のテキスト ファイルを作成する際に考慮すべきフォーマートの規則を説明します。

 

詳細

EBL(外部ブロック リスト)の各行には IP アドレス、IP 範囲、もしくはサブネット(IPv6 サポート)が入力できます:

  • 192.168.20.10/32 は 1 つの IP アドレスを意味します
  • 192.168.20.0/24 はサブネットを意味します
  • 192.168.20.40-192.168.20.50 IP 範囲を意味します
  • 2001:db8:123:1::1 は 1 つの IP アドレスを意味します
  • 2001:db8:123:1::/64 はサブネットを意味します

注:

  • EBL の各行は改行文字 (LF) で終端します。Windows 形式 (CR-LF) はサポートされません。
  • EBL を使用した URL または FQDN の動的なブロックは現在されポートされていません。
  • ファイアウォール上のリストの最後の IP アドレスの最後のオクテットを参照するためには、テキスト ファイルの最後の IP アドレスの後に "リターン" が入力されている必要があります。
  • サービス ルートの設定では、EBL は 'Palo Alto Updates' の選択に分類されます。

 

役立つコマンド:

  • CLI 上で EBL を表示します:

    > request system external-list show name <オブジェクト名>

 

  • CLI から EBL リフレッシュをリクエストします:

    > request system external-list refresh name <オブジェクト名>

 

  • EBL リフレッシュのステータスを表示します:

    > show jobs id <ジョブ ID>

 

追加情報:

次のエラー (各コマンドからのエラー)が CLI 上で確認される場合があります:

> request system external-list show name <オブジェクト名>
Server error : external list file not found.

 

または

> show jobs id <値>  (<値> は EBL リフレッシュ ジョブ)は次のエラーを返す場合があります:
Warnings:
EBL(vsys1/test) Unable to fetch external list. Using old copy for refresh.

 

上記エラーは IP アドレス リストをホストする Web サーバーに問題がある可能性があることを示唆しています。しかし、多くの場合、リストは正常に取得されたが (GUI でテストすると "Source URL is accessible" となる)、Palo Alto Networks デバイスがそのリストを読むことができなかったことが考えられます。ソース アドレスが HTTP/HTTPS URL 上の .txt ファイルを指していることを確認してください。

例えば: https://www.example.com/blocklist.txt

 

HTTPS ロケーションを使用する場合は、PAN-OS 5.0.10 以上であることを確認してください。それより前のバージョンを稼動している場合、正常に動作していてもGUI の Test URL オプションがエラーを返す場合があります。

注: ファイアウォール上のリストを参照するためには DBL(ダイナミック ブロック リスト)がポリシーで使用されている必要があります。

 

同エラーは、セキュリティ ルールがダイナミック ブロック リストを使用して設定されていない場合や、対象 vsys が マルチ vsys システムに設定されていない場合にも現れる場合があります。

  • ダイナミック ブロック リストをセキュリティ ルールに適用するためには、次の例を参照してください:
    eblcorrect.jpg
    EBL オブジェクトを宛先として使用するルールに対しては、アクションは 'Allow' ではなく 'Block' を設定します。

  • 対象 vsys を設定するためには:

    > set system setting target-vsys <vsys1>

 

EBL(非共有 EBL)を Panorama 上で作成する場合は、プレ ルールに適用しマルチ vsys(仮想システム) の管理デバイスにプッシュします。

 

注 1: 'Palo Alto Updates' サービス ルートは EBL にも影響を及ぼします。

 

注 2: PAN-OS 6.1 より前では、コメントのある行はセキュリティ ポリシーに適用されると削除されます。6.1 以降では、コメントのある行は適切に適用されます。

 

例:

#test dbl

1.2.3.4

10.10.10.10

10.11.12.13 testingcommentsread here

10.12.12.14 #testingcommentsread here

 

> show running security-policy
TestDBL {
from trust-L3;
source any;
source-region none;
to untrust-L3;
destination [ 1.2.3.4 10.10.10.10 ];
destination-region none;
user any;
category any;
application/service any/any/any/any;
action allow;
terminal yes;
}

 

注: EBL をリフレッシュした際に他のエラーが表示される場合、management server debug を有効にし ms.log を追跡することができます。EBL リストのフォーマットに問題がある場合は、ms.log に明確に記されます。ms.log ファイルの記録例を次に示します:

 

Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) Refresh job cancelled
Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) EBL Refresh job success
Feb 15 12:43:21 EBL ALLOC free timer (0xdbfbecb0, 1356)
Feb 15 12:43:21 EBL entry(0xf30a77f0, 0xe0b6ac60, 0xe210b998 vsys1/test, 1, 0) Releasing ebl
Feb 15 12:43:21 EBL ALLOC free size(0xe0b6ac60 1196)

 

外部ブロック リストと各リスト内のアドレス エントリーの最大数:

 

  • 各プラットフォームは最大 10 個の外部ブロック リストを持つことができます。
  • 各リストにはファイアウォールのモデルがサポートする最大アドレス数 から300少ないアドレス を含めることができます。
  • 各 EBL は 1 アドレス オブジェクトとして数えられ、max-address のプラットフォームの最大数には影響を与えません。すなわち、デバイスの最大アドレス数が 5000 の場合、それぞれ 4700 アドレスのサイズの EBL を 10 個持つことができ、その他に 4990 個のアドレス オブジェクトを持つことができます。

 

ご使用のシステムの最大アドレス数を確認するためには、CLI より次のコマンドを入力してください:

 

PA-200 上ではコマンドと出力はこのように見えるはずです:

> show system state | match cfg.general.max-address


cfg.general.max-address: 2500

 

こちらはハードウェアと最大アドレス エントリーを示すグラフです:

ハードウェア 最大アドレス エントリー

PA-200

PA-500

2500

PA-3020

5000

PA-3050

PA-3060

PA-5020

10000
PA-5050 40000

PA-5060

PA-7050

80000

 

 

PA-200 で PAN-OS 7.0.x を稼動している場合は、以下の最大数をもつことができます:

  • 最大 10 個の外部ブロック リスト
  • 全ての外部リスト合わせて最大 50000 個の IP (50000 個の IP をもつ 1 つのリスト、または、5000 個の IP をもつ 10 個のリストは両方ともサポートされます)

1 つのデバイスで 10 個以上の EBL を使用した場合、コミット中に次のエラーが表示されます:

      Exceeding max number of supported external block lists (10)

 

注: 共有 EBL オブジェクトを Panorama から マルチ vsys が有効化されたデバイスにプッシュする場合は、各 EBL が vsys ごとに 1 カウントされる問題に遭遇する可能性があります。この問題はアーキテクチャの変更により PAN-OS 7.1 で解決しています。

 

エントリ数がキャパシティの総数を超えた場合は、次のエラーがシステム ログに表示されます:

      EBL(<EBL 名>) Exceeding max number of ips at line XXXX

 

 

著者: jdelio