Wie man farblich codierte Tags konfiguriert

Wie man farblich codierte Tags konfiguriert

51071
Created On 09/25/18 17:36 PM - Last Modified 06/07/23 04:28 AM


Resolution


PAN-OS 6,0 und nach

 

Übersicht

Farblich codierte Tags wurden in PAN-OS 6,0 eingeführt und ermöglichen die Kategorisierung vieler Arten von Objekten, die visuell unterscheidbar sind. Administratoren können leicht feststellen, ob Ihre Richtlinien korrekt erstellt wurden, indem Sie eine Richtlinie Scannen und bestätigen, dass die Farbcodierung Ihrer Objekte Ihrem gewünschten Schema folgt.

 

Details

Auf dem Gerät/Panorama-GUI navigieren Sie zum Reiter Objekte. Wie unten gezeigt, hat das Objekt Tree Panel auf der linken Seite einen neuen Baumknoten namens "Tags" für farblich codierte Tags Verwaltung.

Tags-Tree. png

 

EIN Tag-Objekte hat drei Felder:

  • Name
  • Farbe
  • Kommentare

Der Name kann kein Komma (,) enthalten, da er bei der Zuordnung von Tags als Trennzeichen verwendet wird.

Der Farbwert des Tag-Objekts kann aus einer Farbpalette von 16 vordefinierten Farben ausgewählt werden. Der Standardwert ist "None", was keine Farbe ist.

Die Auswahl einer Farbe ist bei der Erstellung eines Tags nicht erforderlich.

2015-03-03 15_38_02-93-PA-VM-200. png

 

Die folgenden Objekte im Palo Alto Networks-Gerät/Panorama können mit dem neuen Tag-Attribut verwendet werden:

  • Objekte > Adresse
  • Objekte > AdressGruppen
  • Objekte > DienstLeistungen
  • Objekte > Service Gruppen
  • Netzwerk > Zonen
    Hinweis: bei der Verwendung von Tags und Zonen muss der Drop-Down anstelle eines generischen namens verwendet werden, da das Tag beim Bearbeiten der Zone nicht wählbar ist.

 

Die RichtLinien haben bereits Tags, werden aber genutzt, um das neue Tag-Objekt zu verwenden. Die obigen Objekte werden alle eine neue Tag-Spalte in Ihrem Top-Level-Raster haben. Nur das erste Tag in einem Objekt kann Farbe haben.

 

Während des Add/Edit eines der oben genannten Objekte kann das Attribut Tags angegeben werden, wie unten gezeigt:

2015-03-03 16_05_02-93-PA-VM-200. png

 

Tags können aus bestehenden Tags ausgewählt werden. Auch die Tag Vervollständigung ist Case-unempfindlich. Wenn der Administrator einen neuen Tag hinzufügt, wird er als Tag-Objekt nach "OK" hinzugefügt. Der Benutzer kann ein Tag als "farbiges Tag" für ein Objekt auswählen, während er im Objekt-/Regel Editor ist. Der "farbige Tag" wird als erster Tag nach "OK" gespeichert.

 

Von den Policy-Tabellen wird der Benutzer Regel-Tags sehen. Nur das erste Tag in einer Regel kann Farbe haben.

 

Im folgenden ist ein Beispiel für die Sicherheits-Rulebase ohne Farb-Tags verwendet:

2015-03-03 15_24_03-93-PA-VM-200. png

 

Im folgenden ein Beispiel für eine Sicherheits-Rulebase mit farbtags, die für Zonen und innerhalb der Objekte verwendet werden:

2015-03-03 16_24_17-93-PA-VM-200. png

 

Beachten Sie, dass die Verwendung von Farbtags die Richtlinien viel einfacher zu lesen macht.

 

Zusätzliche Details

  • Die Länge der Tag-Namen ist auf 127 Zeichen begrenzt.
  • Es gibt nur 16 Farben, kann keine eigenen Farben erstellen.
  • Mehrere Tags können die gleiche Farbe verwenden.
  • Wenn ein Artikel mehrere Tags mit verschiedenen Farben hat, wird die erste Tag-Farbe angezeigt. Bestellen Sie also.
  • Config wird in CLI als Farbe # (1-16) angezeigt (zum Beispiel Set-Tag test1 Color color4)
  • Panorama kann Tag Color configs drücken. Wenn Sie mit dem bestehenden Tag auf der Firewall kollidieren, sollte die Gerätekonfiguration Vorrang haben.
  • Auch wenn es einen Konflikt zwischen geteiltem und VSYS spezifischem Objekt gibt, hat VSYS Vorrang.

 

Protokollierung

Konfigurations Protokolle werden für das Hinzufügen/Bearbeiten/Löschen von Tag-Objekten und die Einstellung von Tags zu anderen Objekten generiert.

 

Feature Interaktion mit Infrastrukturkomponenten:

  • Die Konfiguration mit hoher Verfügbarkeit-Tag wird synchronisiert, ähnlich wie bei den anderen Objekt Konfigurationen
  • Virtuelle System-Tag-Administration und Tag-Zuweisung kann per VSYS durchgeführt werden
  • Panorama-Tag-Administration und Tag-Zuordnung gibt es auf Panorama

 

Panorama

Die angegebenen Objekte und Zonen in Netzwerk Vorlagen werden für Tags konfiguriert. Die Tag-Konfiguration wird zusammen mit den Objekten und Geräte Vorlagen auf die Gerätegruppen und-Geräte geschoben. Wenn es im Widerspruch zu einem bestehenden Tag auf der Firewall steht, dann sollte die Gerätekonfiguration Vorrang haben. In der Netzwerk-Vorlage auf Panorama-Zonen können Tags angegeben werden, aber keine Vervollständigung (Drop Down) ist verfügbar. Benutzer können nur Tagnamen eingeben.

 

Tags können zu VSYS gehören oder in einem Gerät und einer Gerätegruppe geteilt werden, oder im Panorama geteilt werden.

 

Besitzer: Jdelio
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClH6CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language