Panorama即使在未选中"与设备共享未使用的地址和服务对象"的情况下,在托管低端平台上也超过了地址对象限制
25855
Created On 04/13/19 03:38 AM - Last Modified 04/26/21 17:04 PM
Symptom
当您推送配置更改设备组时,默认情况下 Panorama ,将所有共享对象推至防火墙,无论是否有共享对象或设备组 policy 规则引用对象。 但是,您可以仅配置 Panorama 以推送设备组中规则引用的共享对象。 与设备选项共享未使用的地址和服务对象,使您能够限制 Panorama 推送到托管防火墙的对象。
如果 "与设备共享未使用的地址和服务对象" 已禁用/未选中,请 Panorama 评估未使用的对象,同时将配置推至设备。 但是,此功能在评估未使用的对象时忽略了安全规则中的"目标设备"。
Environment
本文适用于 Panorama "与设备共享未使用的地址和服务对象"的所有 PanOS 支持选项
Cause
我们将详细讨论上述行为。 例如,考虑以下 Panorama policy 结构:
假设一个简单的设备组层次结构和 Panorama 配置如下:
共享:
设备组1
Firewall-1
设备组2
Firewall-2
共享:
地址对象
地址1
地址2
政策
共享政策1
来源 : 地址1
目标设备 : Firewall -2
设备组1:地址对象
地址3
政策
DG1-政策1
来源 : 地址3
目标设备 : 全部
设备组2:
地址对象
地址4
政策
DG2-政策1
来源 : 地址2
目标设备 : 全部
DG2-政策2
来源 : 地址4
目标设备 : 全部
因此,将配置推至 Firewall -1将是:
策略:
DG1-政策1
来源 : 地址3
地址对象:地址1
地址3
将配置推至 Firewall -2将是:
策略:
共享政策1
来源 : 地址1
DG2-政策1
来源 : 地址2
DG2-政策2
来源 : 地址4
地址对象:地址1
地址2
地址4
通知地址对象"地址1"。 它被定义为共享层次结构,并用于共享, Policy 该共享 firewall 仅针对设备组 2 中的目标。 它仍然会被推至 Firewall -1,因为目标设备设置被忽略未使用的对象评估
Resolution
作为一项决议,我们应该设计设备组层次结构的方式,即某些设备未针对的策略不应置于父设备组或共享层次结构之下。 具有类似要求的防火墙 policy 可以组合成单独的设备组级。
在上述示例中,共享政策 1 应直接置于设备组 2 下。
Additional Information
NOTE :配置规划 Panorama 应牢记正在管理的最低容量平台。 即使在配置规划期间,也应考虑上述文章 Panorama ,以避免将来配置大小缩放时出现问题。