Pourquoi les stratégies de sécurité se référant à EDL différents objets génèrent des avertissements d’ombre sur Validate Commit

Pourquoi les stratégies de sécurité se référant à EDL différents objets génèrent des avertissements d’ombre sur Validate Commit

10049
Created On 12/20/19 04:57 AM - Last Modified 10/13/23 04:29 AM


Question


Pourquoi les stratégies de sécurité se référant EDL à différents objets génèrent des avertissements d’ombre sur « Valider commit », lorsque les entrées de liste présentes dans les objets sont complètement EDL différentes.

Voici les politiques de sécurité renvoyant deux EDL objets différents avec le reste des champs

Image ajoutée par l'utilisateur

identiques: « Valider Commit » valide si la configuration a firewall une syntaxe correcte et est sémantiquement complète.
Si l’utilisateur choisit d’effectuer « Valider commit »:

Image ajoutée par l'utilisateur

Ci-dessous les avertissements sont vus:

Image ajoutée par l'utilisateur

Alors qu’un travail commit ne génère pas de tels avertissements.

Image ajoutée par l'utilisateur

Environment


Une liste dynamique externe est un objet d’adresse basé sur une liste IP importée d’adresses, urls ou noms de domaine que vous pouvez utiliser dans les policy règles pour bloquer ou autoriser le trafic. 

Voici les deux objets de EDL type : Lors de la vérification des IP

Image ajoutée par l'utilisateur

entrées de liste, il peut être confirmé que les objets EDL ci-dessus ont des listes différentes IP :

Image ajoutée par l'utilisateur

Image ajoutée par l'utilisateur

Answer


On s’attend à ce que le comportement ci-dessus parce que le travail « Valider l’engagement » n’utilise que les étapes phase0 et phase1 du travail Commit.
Pendant les phases 0 et EDL phase1, les objets ne sont pas élargis et, par conséquent, les avertissements d’ombre sont générés si les autres domaines des stratégies de sécurité sont identiques.
Lors de l’exécution de Commit, la phase2 est également déclenchée, ce qui entraîne l’expansion EDL des objets et les avertissements sont évités étant donné que les objets ont des listes EDL IP différentes.

Additional Information


Un avertissement similaire sera visible lors de la mise en œuvre de la poussée du groupe de périphériques validés et de la « validation de la poussée de modèle » pour la sous-direction, que les stratégies de sécurité se référant à des objets soient configurées localement sur le ou poussés à partir panorama de firewall : panorama EDL firewall panorama

Image ajoutée par l'utilisateur

l’opération Push effectuée panorama sur déclenchera le travail « Commit All » sur le et firewall n’entraînera pas d’avertissements d’ombre.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNvNCAW&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language