减少 PA-2000 系列和 PA-4000 系列 MP CPU 的步骤

问题

PA-2000 系列和 PA-4000 系列防火墙上的管理层始终保持较高的状态, 并在访问设备时造成迟缓的行为。

解决办法

1. 删除非用户重要通信量的日志记录 (如 DNS、NetBios、动态路由协议、SNMP、ICMP
   日志) 应在全景上转发, 而报表从全景运行, 而不是在防火墙本身上.
2. 删除除最近的所有日志, 以便日志索引可以更快地运行。
3. 请确保所有策略仅在会话结束时登录。
4. 为任何内部和内部受信任的通信设置安全策略, 而不进行任何日志记录。
5. 使用内部 dns 服务器减少出站 dns 通信量。
6. 确保遍历防火墙的备份进程在高峰工作时间之前完成。
7. 在工作时间内最小化管理登录 (日志刷新和 ACC 视图消耗资源)。
8. 在 PAN OS 6.0 和6.1 软件版本中引入了提交过程优化代码。
   注意:在 PAN OS 6.0 版本中有帮助的另一个功能是禁用防火墙上的预定义报告, 有关详细信息, 请参阅以下文档:如何在帕洛阿尔托网络设备上禁用预定义报表
9. 减少 FQDN 刷新、野火、内容和威胁更新的频率。将防病毒更新设置为12或24小时, 而不是15分钟或每小时。
   要更改 FQDN 刷新间隔, 请使用以下命令:
   # 设置 deviceconfig 系统 FQDN-forcerefresh 时间
   
10. 将 GUI 刷新更改为手动。
11. 减少客户报告 (设备本地报告和全景推送报告) 的数量。

所有者： kprakash