Palo Alto Networks

PAN-OS External Dynamic List Kurulumu

KDC tarafından onay sonrasında iletilen IP, domain ve URL feed bilgilerini PAN-OS üzerinde EDL nesnelerine dönüştürme ve güvenlik politikalarına bağlama rehberi.

EntegrasyonIP, Domain ve URL EDLErişimBaşvuru sonrası özel bağlantı bilgileri
Kontrollü erişim

KDC güvenli feed altyapısını kullanmak için başvurun

KDC USOM Feed Service yalnızca incelenmiş ve onaylanmış kurumlara açılır. Başvuru formunda kurum, güvenlik duvarı ve kaynak public IP bilgilerinizi paylaşın. Teknik inceleme ve onay sonrasında size özel bağlantı IP/FQDN, port, feed adresleri ve üreticiye özel kurulum değerleri güvenli kanaldan iletilir.

Başvuru sürecini görüntüle
1. Gereksinimler

Kurulumdan önce

PAN-OS yönetim yetkisiEDL, sertifika profili, politika ve commit erişimi.
Kaynak public IPEDL indirme trafiğinin gerçek internet çıkış adresi.
DNS ve TLSKDC tarafından verilen FQDN ve sertifika zinciri doğrulanmalı.
KDC onayıBağlantı bilgileri başvuru onayından sonra paylaşılır.
2. Ağ rotası

Service route ve kaynak IP

  1. Device → Setup → Services → Service Route Configuration bölümünü açın.
  2. External Dynamic List erişiminin hangi arayüz ve kaynak IP üzerinden çıktığını doğrulayın.
  3. NAT sonrasında oluşan gerçek public IP'yi başvuru formunda belirtin.
  4. KDC onay yazısında iletilen hedef ve porta outbound erişim verin.

Başka bir bilgisayardan yapılan tarayıcı testi, firewall'ın kullandığı service route ile aynı public IP'den çıkmıyorsa geçerli bir doğrulama değildir.

3. TLS güvenliği

Certificate Profile oluşturun

  1. Device → Certificate Management → Certificate Profile ekranına gidin.
  2. KDC-USOM-EDL-TLS adında bir profil oluşturun.
  3. KDC bağlantı dokümanında belirtilen HTTPS sertifika zincirinin root ve intermediate CA sertifikalarını profile ekleyin.
  4. Aynı profili tüm KDC EDL nesnelerinde kullanın.

Sunucu doğrulamasını kapatmayın. Sertifika hatasında önce CA zinciri, hostname ve firewall saatini kontrol edin.

4. EDL nesneleri

Üç ayrı liste oluşturun

Objects → External Dynamic Lists → Add yolunu kullanın. Gerçek URL değerleri onay sonrasında KDC tarafından paylaşılır.

Nesne adıTürKaynak
KDC-USOM-IPIP ListKDC onay dokümanındaki IP Feed URL
KDC-USOM-DOMAINDomain ListKDC onay dokümanındaki Domain Feed URL
KDC-USOM-URLURL ListKDC onay dokümanındaki URL Feed URL
  • Certificate Profile: KDC-USOM-EDL-TLS
  • İlk kurulumda güncelleme aralığı: Hourly
  • Kaydetmeden önce mevcutsa Test Source URL ile doğrulayın.
  • Ardından commit işlemini tamamlayın.
5. Politika

Kontrollü biçimde devreye alın

  • IP listesi inbound kurallarda Source Address, outbound kurallarda Destination Address olarak kullanılabilir.
  • URL listesi Security Policy veya URL Filtering Profile içinde URL Category olarak kullanılabilir.
  • Domain listesi DNS güvenliği/Anti-Spyware politikasına bağlanabilir.
  • İlk aşamada dar kapsam, loglama ve istisna mekanizması kullanın.

Canlı IOC adreslerine kontrolsüz erişim testi yapmayın. Liste durumu, kayıt sayısı ve güvenlik logları üzerinden doğrulama yapın.

6. Doğrulama

EDL durumunu kontrol edin

Objects → External Dynamic Lists ekranında her nesnenin List Entries and Exceptions bölümünü inceleyin.

CLI üzerinde aşağıdaki komut kalıbı kullanılabilir:

request system external-list show type <ip|domain|url> name <EDL_NESNE_ADI>

Geçerli kayıt sayısının sıfırdan büyük, authentication durumunun başarılı ve sonraki güncelleme zamanının ileri bir tarih olduğunu doğrulayın.

7. Geri dönüş

Entegrasyonu güvenli kaldırın

  1. EDL referanslarını politika ve profillerden kaldırın.
  2. Commit yapıp trafik davranışını doğrulayın.
  3. Referans edilmeyen EDL nesnelerini silin.
  4. KDC erişimine artık ihtiyaç yoksa kaynak public IP onayının kaldırılmasını isteyin.
Üretici KB ve resmî dokümantasyon

Palo Alto Networks referansları

Bu rehberin en güncel üretici davranışlarıyla karşılaştırılması için Palo Alto Networks'ün resmî dokümantasyon ve Knowledge Base sayfalarını kullanın.

Policy Object: External Dynamic ListsEDL türleri, desteklenen kullanım alanları ve genel kapasite davranışı. Configure Your Environment to Access an External Dynamic ListEDL nesnesi, URL, sertifika doğrulaması ve güncelleme ayarları. Configure Service RoutesEDL indirme trafiğinin kaynak arayüz ve IP seçimi. Enforce Policy on an External Dynamic ListIP, domain ve URL listelerinin güvenlik kontrollerinde kullanılması. Retrieve an External Dynamic List from the Web ServerElle yenileme ve listeyi yeniden alma adımları. View External Dynamic List EntriesKayıtları görüntüleme ve istisna yönetimi. Find External Dynamic Lists That Failed AuthenticationTLS ve authentication hatalarının incelenmesi. Palo Alto Knowledge Base: URL Filtering – Dynamic/External Block List EDLHarici liste kullanımıyla ilgili üretici KB makalesi.

Tüm üretici referanslarını görüntüle →

Menü adları ve desteklenen özellikler PAN-OS sürümüne, lisanslara ve Panorama/Strata yönetim modeline göre değişebilir. Üretici dokümantasyonu esas alınmalıdır.