Viktig oppdatering for Palo Alto Networks-kunder
Denne oppdateringen påvirker deg hvis du har en Palo Alto Networks-brannmur eller Panorama som brukes for noen av følgende tjenester:
Scenario 1
- Data redistribution (User-ID, IP-tag, User-tag, GlobalProtect HIP, og/eller karanteliste)
- URL PAN-DB privat sky (M-Series)
- WildFire privat sky-applikasjon (WF500/B)
Scenario 2
- WildFire/Advanced WildFire Public Cloud
- URL/Advanced URL Filtering
- DNS Security
- ThreatVault
- AutoFocus
Les mer om hvert scenario lenger ned.
Hva som har endret seg:
31. desember 2023 utløper rotsertifikatet og standardsertifikatet for PAN-OS. Hvis de ikke fornyes, vil brannmurer og Panorama miste forbindelsen til Palo Alto Networks’ skytjenester og påvirke nettverkstrafikken, noe som kan forårsake avbrudd i de berørte tjenestene.
Målversjoner
Tabellen nedenfor inneholder målversjonene for både scenario 1 og scenario 2.
Current PAN-OS Version | Upgrade Target Version |
8.1 | 8.1.21-h1* 8.1.25-h1* or greater |
9.0 | 9.0.16-h5 or greater |
9.1 | 9.1.11-h4 9.1.12-h6* 9.1.13-h4* 9.1.14-h7 9.1.16-h3 9.1.17 or greater |
10.0 | 10.0.8-h10* 10.0.11-h3* 10.0.12-h3* or greater |
10.1 | 10.1.3-h2 10.1.5-h3* 10.1.6-h7 10.1.8-h6 10.1.9-h3 10.1.10 or greater |
10.2 | 10.2.3-h9 10.2.4 or greater |
11.0 | 11.0.0-h1 11.0.1-h2 11.0.2 or greater |
11.1 | 11.1.0 or greater |
* Hotfix-versjoner med en asterisk er ikke utgitt ennå. Palo Alto Networks sikter på å slippe alle hotfixene senest den 17. november 2023. Denne datoen kan bli endret. Du vil motta en melding om at hotfixen har blitt utgitt via e-post hvis du har konfigurert Innstillinger i CSP-kontoen din og merket av for ‘Abonner på e-postmeldinger om programoppdateringer’ og klikket på ‘send’.
Handling kreves:
Vurder om du er påvirket i henhold til hensynene nedenfor og ta tiltak om nødvendig.
Avhengig av hvilke tjenester du bruker, må du ta tiltak som beskrevet i ett eller begge scenariene nedenfor:
Scenario 1
Hvis du er en kunde med data distribution (bruker-ID, IP-tag, bruker-tag, GlobalProtect HIP og/eller karantaneliste), må du utføre en av følgende to handlinger:
- Oppgradere dine berørte brannmurer og Panorama (administrasjons- og loggsamlermodus),
ELLER
- Distribuere tilpassede sertifikater til dine berørte brannmurer og Panorama (administrasjons- og loggsamlermodus).
Hvis du er en kunde med URL PAN-DB privat sky (M-serien) eller WildFire privat sky-applikasjon (WF500/B), må du ta følgende tiltak:
- Oppgradere dine berørte brannmurer, WF-500s, M-serien og Panorama (administrasjons– og loggsamlermodus).
- Hvis du ikke har installert tilpassede sertifikater, må du oppgradere alle brannmurer, WF-500s, M-serien og panoraman (administrasjons– og loggsamlermodus) som er involvert i dataomfordeling (bruker-ID, IP-tag, bruker-tag, GlobalProtect HIP og/eller karantaneliste), URL PAN-DB privat sky (M-serien) og/eller WildFire privat sky (WF500/B) til en av PAN-OS-versjonene i tabellen ovenfor.
- Distribuere tilpassede sertifikater til dine berørte brannmurer og Panorama
- Dataomfordeling (bruker-ID, IP-tag, bruker-tag, GlobalProtect HIP og/eller karantaneliste): Hvis alle brannmurer og Panorama i nettverket kjører PAN-OS versjon 10.0 eller nyere, kan du bytte til tilpassede sertifikater for dataomfordeling i stedet for standard enhets- og rotsertifikater. Mer informasjon om hvordan du konfigurerer tilpassede sertifikater for dataomfordeling finnes i følgende artikkel, trinn 8 og 9. Viktig!: Du må bytte til tilpassede sertifikater på dataomfordelingsagenten og klienten for sikker server- og klientkommunikasjon.
- WildFire privat sky (WF500/B): Tilpassede sertifikater er ikke et alternativ.
- URL PAN-DB privat sky (M-serien): Tilpassede sertifikater er ikke et alternativ.
Scenario 2
Hvis du er kunde hos Wildfire Public Cloud, Advanced WildFire Public Cloud, URL-filtrering, avansert URL-filtrering, DNS-sikkerhet, ThreatVault eller AutoFocus, må du ta en av følgende tre tiltak:
- Installere en spesifikk innholdsoppdatering på dine berørte brannmurer og Panorama. Du må installere følgende innholdsoppdateringsversjon (8776-8390 eller nyere) på brannmurene og Panorama
- Hvis du har konfigurert automatisk innhold, vil denne oppdateringen skje automatisk
- Hvis du oppdaterer innholdet manuelt, skal du oppdatere innholdet til innholdsversjonen ovenfor
ELLER
- Oppgradere din brannmur og Panorama til en av PAN-OS-versjonene i mål for oppgraderingsversjonene som nevnt ovenfor.
ELLER
- Aktivere enhetssertifikater på din berørte brannmurer og panoramabilder.
- Hvis du har brannmurer og Panorama som kjører PAN-OS 8.1, 9.0 eller 9.1, anbefales ikke denne metoden.
- Hvis du har brannmurer og Panorama som kjører PAN-OS 10.0.5, 10.1.10, 10.2.5 og 11.0.2 eller nyere, følg instruksjonene på dokumentasjonssiden for å aktivere enhetssertifikatet.
Lenke til Palo Alto Networks LiveCommunity (Innlogging) LIVEcommunity – Nødoppdatering påkrevd – PAN-OS Rot og Standard Sertifikat Utløp – LIVEcommunity – 564672 (paloaltonetworks.com)
Ta kontakt med oss om dere ønsker assistanse på å vurdere om dere er berørt, eller trenger hjelp.