Panorama「未使用アドレスとサービスオブジェクトをデバイスと共有する」がオフになっている場合でも、管理対象ローエンドプラットフォームでアドレスオブジェクトの制限を超えました
25853
Created On 04/13/19 03:38 AM - Last Modified 04/26/21 17:04 PM
Symptom
設定変更をプッシュすると、デフォルトでは、 Panorama 共有またはデバイス・グループの規則がオブジェクトを参照しているかどうかに関係なく、すべての共有 policy オブジェクトがファイアウォールにプッシュされます。 ただし、 Panorama デバイス グループ内のルールが参照する共有オブジェクトのみをプッシュするように設定できます。 [未使用のアドレスとサービス オブジェクトをデバイスで共有] オプションを使用すると、 Panorama 管理対象ファイアウォールにプッシュするオブジェクトを制限できます。
「未使用アドレスとサービスオブジェクトをデバイスと共有する」が無効/オフになっている場合、 Panorama デバイスに設定をプッシュしながら未使用のオブジェクトを評価します。 ただし、この機能は、未使用のオブジェクトを評価する際に、セキュリティルールの「ターゲットデバイス」を無視します。
Environment
この資料は Panorama 、「未使用のアドレスとサービス オブジェクトをデバイスと共有する」のすべての PanOS サポート オプションに適用されます。
Cause
上記の動作について詳しく説明します。 たとえば、次のような構造を考えてみます Panorama policy :
単純なデバイス グループの階層と Panorama 構成を次のように
します。
デバイスグループ1
Firewall-1
デバイスグループ2
Firewall-2
共有:
アドレスオブジェクト
住所1
Address2
ポリシー
共有ポリシー1
ソース : アドレス1
ターゲットデバイス : Firewall -2
デバイスグループ1:アドレスオブジェクト
住所3
ポリシー
DG1-ポリシー1
ソース : アドレス3
ターゲットデバイス : すべて
デバイスグループ2:
アドレスオブジェクト
住所 4
ポリシー
DG2-ポリシー1
ソース : アドレス2
ターゲットデバイス : すべて
DG2-ポリシー2
ソース : アドレス4
ターゲットデバイス : すべて
したがって、-1 にプッシュされた構成 Firewall は次のようになります:
ポリシー:
DG1-ポリシー1
ソース : アドレス3
アドレス オブジェクト:住所1
住所3
2 にプッシュされた構成 Firewall は次のようになります:
ポリシー:
共有ポリシー1
ソース : アドレス1
DG2-ポリシー1
ソース : アドレス2
DG2-ポリシー2
ソース : アドレス4
アドレス オブジェクト:住所1
Address2
住所 4
アドレス オブジェクト"Address1" に注意してください。 共有階層で定義され、デバイス グループ 2 Policy のみの対象となる共有で使用されました firewall 。 それでも、ターゲットデバイス設定は Firewall 未使用オブジェクトの評価のために無視されるので、-1にプッシュされます
Resolution
解決方法として、特定のデバイスを対象としないポリシーを親デバイス グループまたは共有階層の下に配置しないように、デバイス グループ階層を設計する必要があります。 同様の要件を持つファイアウォール policy は、別々のデバイスグループ階層にクラブすることができます。
上記の例では、共有ポリシー1はデバイスグループ2の直下に置かれるべきです。
Additional Information
NOTE : Panorama 管理する最小容量のプラットフォームを考慮して、構成の計画を立ててください。 構成 Panorama サイズが拡大する場合に、今後問題が発生しないように、上記の記事は構成計画中にも考慮する必要があります。