PAN-OS 7.1 URL フィルタリング - 外部ダイナミック リスト（External Block List EDL）

※この記事は以下の記事の日本語訳です。

PAN-OS 7.1 URL Filtering - Dynamic Block List - External Block List EDL

https://live.paloaltonetworks.com/t5/Tutorials/PAN-OS-7-1-URL-Filtering-Dynamic-Block-List-External-...

以前のバージョンの PAN-OSでは、ファイアウォール管理者は、ダイナミック ブロック リスト (EDL - 外部ダイナミック リスト) または、外部ブロック リスト (EBL) 機能を用い、IPアドレスを含む外部のファイルを参照することで、IPサブネットやIPアドレスの範囲をブロックすることが可能でした。

PAN-OS 7.1 より、リストで使用できるタイプにURLが追加され、より簡単にブロック制御ができるようになりました。

要件

• 各URLリストはカテゴリとして使われます。URLリストの名前がカテゴリ名となります。
• これらのカテゴリはURLフィルタリング プロファイルとセキュリティ ルールで使用できます。
• 更新の間隔は、5分、毎時、毎日、毎週、月次のいずれかで設定できます。
• 5分を更新間隔に設定した場合、リストに変更があった場合のみコミットが実行されます。また、それは1時間に1回となります。
• もしリストが外部のサイトで更新されたにも関わらずファイアウォール上で反映されていないのであれば、設定監査にてcandidate configのチェックをし、新しい項目がリストから引っ張られているかどうか確認してください。
• URLリストはHTTPSサイトに置くことも可能です。その際、次のすべてがチェックされます。（CA、CN/SAN、有効期限、OCSP & CRL）

ハードウェア スペック

PA-200, PA-500, PA-2000, PA-3000, PA-4000, PA-VM プラットフォーム

• 30リスト (IP + DNS + URL)
• 合計50,000 IP。個々のリストに制限なし。
• DNS + URLを合わせて50,000まで。リスト単位では制限なし。

PA-5000 & PA-7000 シリーズ

• 30リスト (IP + DNS + URL)
• 合計150,000 IP。個々のリストに制限なし。
• DNS + URLを合わせて50,000まで。リスト単位では制限なし。

（訳注: 値が変更になっている可能性もあるので、念のため別の資料でも確認してください。

　　　https://www.paloaltonetworks.com/products/product-selection.html）

注: もし最大数の50,000以上のURLが使われた場合、ファイアウォールは先頭から50,000までの項目を使用し、残りの項目は使用しません。これが起きた際は、システム ログにログが生成されます。

設定

ステップ 1. 新しく外部リストを作成するには、Objects > 外部ダイナミック リスト > 追加、をクリックします。以下の例では、'Bad Mojo' という名前を付けました。外部ファイルの参照先には "http://www.example.com/url-list.txt" を指定しています。繰り返し間隔は、5分です。

ステップ 2. 新しくURL フィルタリング プロファイルを作成するには、Objects > セキュリティ プロファイル > URL フィルタリング > 追加、をクリックします。新しく作ったリストは、下の方にスクロールすると見つかります。
注: 新しいプロファイルでは、作成したEDLに対するアクションがデフォルトで 'allow' になるので注意してください。

ステップ 3. 既存のURLフィルタリング プロファイルを編集する場合は、Objects > セキュリティ プロファイル > URL フィルタリング、にてプロファイル名をクリックします。
注: 管理者が変更するまでアクションは 'none' になっています。これはカスタムURLカテゴリと同様です。

ステップ 4. セキュリティ ポリシー (Policies > セキュリティ)にて、編集したいルールの名前をクリックすると、サービス/URL カテゴリのところで、上記で作成した "Bad Mojo" が外部ダイナミック リストの下に見つかります。

Step 5. このリストを有効にするために、コミットをします。

リスト フォーマットの要件

• リストはプレーンテキストである必要があります。 (HTML、PDFなどは使用できません)
• スキームはオプションです。もし見つかれば、読み飛ばされます。
• http:// 部分は不要です。
• ワイルドカード (*) はサポートされます。
  • *.example.com/hacked/*
  • www.example.net/wp-*/debug/
• 1行の最大長は 1024 文字です。
• ダブルバイト文字は未サポートです。
• ドメインを指定する場合は、以下のように両方のフォーマットを使用してください。(カスタム URL カテゴリと同様です):
  • example.com
  • *.example.com

CLI の変更点 (ダイナミック ブロック リストの作成)

マルチ-vsys 環境:
> set shared/<vsys vsys> external-list <tab>

{displays a list of current added lists}

<name>

> set shared/<vsys vsys1> external-list <name>

+ description description

+ url         url

+ type        type

> recurring   recurring

<Enter> Finish input

> set shared/<vsys vsys1> external-list <name> type <tab>

+ domain Domain List

+ ip IP List

+ url URL List

シングル-vsys 環境:
> set external-list <tab>

-list of current added lists

<name>

> set external-list <name>

+ description description

+ url       url

+ type      type

> recurring recurring

<Enter> Finish input

> set external-list <name> type <tab>

+ domain Domain List

+ ip IP List

+ url URL List

Panorama:
> set shared/<device-group dg name> external-list <tab>

{displays a list of current added lists}

<name>

> set shared/device-group dg name> external-list <name>

+ description description

+ url       url

+ type      type

+ recurring recurring

<Enter> Finish input

> set shared/device-group dg name> external-list <name> type <tab>

+ domain Domain List

+ ip IP List

+ url URL List

CLI の変更点 (refresh & show コマンド)

> request system external-list show type

+ domain Domain list type

+ ip    IP list type

+ url   URL list type

> request system external-list show type url name <tab>

+ edl-url1  edl-url1

+ edl-url2  edl-url2

+ <name>    <name>

> request system external-list show type url name edl-url1

{displays list of URL entries}

> request system external-list refresh type

+ domain Domain list type

+ ip   IP list type
+ url  URL list type

> request system external-list refresh type url name <tab>

+ edl-url1 edl-url1
+ edl-url2 edl-url2
+ <name>   <name>

> request system external-list refresh type url name edl-url1

Panorama

7.1より前のバージョンのファイアウォールを管理する場合、'IP' タイプの外部ブロック リストのみが使用できます。

7.0以前のPAN-OSバージョンにコンフィグをプッシュする際、'url' タイプのオブジェクトは取り除かれます。

• ポリシーがURLリスト タイプを参照している場合、コミットは失敗します。

参照

PAN-OS 7.1 Resource List（英文）