Warum Sicherheitsrichtlinien, die sich auf verschiedene EDL Objekte beziehen, Schattenwarnungen auf Validate Commit generieren

Warum Sicherheitsrichtlinien, die sich auf verschiedene EDL Objekte beziehen, Schattenwarnungen auf Validate Commit generieren

10053
Created On 12/20/19 04:57 AM - Last Modified 10/13/23 04:29 AM


Question


Warum Sicherheitsrichtlinien, die sich auf verschiedene Objekte beziehen, EDL Schattenwarnungen auf "Commit überprüfen" generieren, wenn die listeneinträge in den EDL Objekten völlig unterschiedlich sind.

Im Folgenden finden Sie die Sicherheitsrichtlinien, die sich auf zwei verschiedene Objekte beziehen, EDL wobei die restlichen Felder identisch sind:

Benutzeriertes Bild

"Validate Commit" überprüft, ob die Konfiguration über die firewall richtige Syntax verfügt und semantisch abgeschlossen ist.
Wenn der Benutzer sich für die Ausführung von "Validate Commit" entscheidet:

Benutzeriertes Bild

Unten werden Warnungen angezeigt:

Benutzeriertes Bild

Während ein Commit-Auftrag solche Warnungen nicht generiert.

Benutzeriertes Bild

Environment


Eine externe dynamische Liste ist ein Adressobjekt, das auf einer importierten Liste von IP Adressen, URLs oder Domänennamen basiert, die Sie in Regeln verwenden können, policy um Datenverkehr zu blockieren oder zuzulassen. 

Im Folgenden sind die beiden EDL Objekte des Typs IP : Bei der Überprüfung der

Benutzeriertes Bild

Listeneinträge, kann bestätigt werden, dass die oben genannten EDL Objekte unterschiedliche Listen IP haben:

Benutzeriertes Bild

Benutzeriertes Bild

Answer


Das obige Verhalten wird erwartet, da der Auftrag "Validate Commit" nur Phase0- und Phase1-Phasen des Commit-Auftrags verwendet.
Während Phase0 und Phase1 EDL werden Objekte nicht erweitert und daher werden die Schattenwarnungen generiert, wenn die anderen Felder der Sicherheitsrichtlinien identisch sind.
Bei der Durchführung von Commit wird Phase2 auch ausgelöst, was zu einer Erweiterung von EDL Objekten führt, und die Warnungen werden vermieden, da die EDL Objekte unterschiedliche Listen IP haben.

Additional Information


Ähnliche Warnungen werden panorama angezeigt, während Sie "Validate Device Group Push" und "Validate template push" für die Unterverwaltung durchführen, firewall ob die panorama Sicherheitsrichtlinien, die sich auf Objekte beziehen, EDL lokal auf dem konfiguriert oder firewall von: panorama

Benutzeriertes Bild

Push-Vorgang ausgeführt wird auf panorama "Commit All" Auftrag auf der auslösen firewall und nicht zu Schattenwarnungen führen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNvNCAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language