
팔로알토 - External Dynamic Link를 통한 자동 차단 구성

올엠 2020. 12. 3. 16:47

팔로알토는 방화벽에서 성능과 기능으로 많은 사랑을 받는 방화벽이다.

실제 많은 기업에서 팔로알토 방화벽을 메인으로 사용한다.


그럼 팔로알토 방화벽에서 제공하는 보안 기능중 EDL(External Dynamic Link)를 이용하여 IP를 차단하는 방법을 알아보자. EDL은 웹 사이트의 Txt 파일에 IP를 등록하면, 주기적으로 파일에 등록된 IP를 통해 차단 리스트를 만들어주는 기능이다. https://panwdbl.appspot.com에 방문하면, 알려진 OSINT 정보중 IP를 활용할 수 있다.


Object에서 확인할 수 있다.

위에서 선택하여 사용하여도 되며, 직접 웹 사이트에 txt 파일을 만들어 EDL로 등록하여 사용할 수 있다.

사용하기 위해서는 EDL과 Repeat 주기를 선택하여 Object를 만들 수 있다.

그리고 Rule을 통해 생성하면, 손쉽게 txt 파일로 차단 리스트를 관리할 수 있다.


EDL에서 관리할 수 있는 리스트의 Total IP 갯수와 동일하며 전체 관리 IP 갯수의 Limit는 아래와 같다.


  • IP address—The PA-5200 Series and the PA-7000 Series firewalls support a maximum of 150,000 total IP addresses; all other models support a maximum of 50,000 total IP addresses. No limits are enforced for the number of IP addresses per list. When the maximum supported IP address limit is reached on the firewall, the firewall generates a syslog message. The IP addresses in predefined IP address lists do not count toward the limit.



External Dynamic List

External Dynamic List An External Dynamic List is a text file that is hosted on an external web server so that the firewall can import objects—IP addresses, URLs, domains—included in the list and enforce policy. To enforce policy on the entries include

