異なるオブジェクトを参照するセキュリティ ポリシーが EDL 、コミットの検証でシャドウ警告を生成する理由
13678
Created On 12/20/19 04:57 AM - Last Modified 07/05/24 05:14 AM
Question
オブジェクト内の EDL リスト エントリが完全に異なる場合、さまざまなオブジェクトを参照するセキュリティ ポリシーが "コミットの検証" でシャドウ警告を生成する理由 EDL 。
以下に、 EDL 残りのフィールドが同じ 2 つの異なる objets を参照するセキュリティ ポリシー
は、"コミットの検証" は firewall 、構成に正しい構文があり、意味的に完全であるかどうかを検証します。
ユーザーが「コミットの検証」を選択した場合:
以下の警告が表示されます:
コミットジョブはそのような警告を生成しません。
Environment
外部動的リストは、 IP アドレス、URL、またはドメイン名のインポートされたリストに基づくアドレスオブジェクトであり、 policy トラフィックをブロックまたは許可するルールで使用できます。
次に 2 つの EDL オブジェクトの型 IP :
リストエントリをチェックすると、上記の EDL オブジェクトのリストが異なっていることを確認できます IP 。
Answer
「コミットの検証」ジョブではコミットジョブのフェーズ0およびフェーズ1の段階のみが使用されるため、上記の動作が期待されます。
フェーズ 0 とフェーズ 1 EDL のオブジェクトは展開されず、セキュリティ ポリシーの他のフィールドが同じ場合にシャドウ警告が生成されます。
コミットを実行すると、フェーズ 2 もトリガーされ、オブジェクトの展開 EDL が行われ、オブジェクトのリストが異なれば警告は回避 EDL IP されます。
Additional Information
同様の警告は panorama 、 firewall オブジェクトを参照するセキュリティポリシーがローカルで構成されているか、またはからプッシュされている場合でも、管理下の管理に対して「デバイスグループプッシュの検証」と「テンプレートプッシュの検証」を行っている間 panorama に表示 EDL firewall panorama されます:
プッシュ操作 panorama が実行されると、"すべてコミット" ジョブがトリガー firewall され、シャドウ警告は発生しません。