为什么参照不同对象的安全策略 EDL 在验证提交时生成阴影警告
10045
Created On 12/20/19 04:57 AM - Last Modified 10/13/23 04:29 AM
Question
为什么当 EDL 对象中的列表条目完全不同时,指不同对象的安全策略在"验证提交"上生成阴影警告 EDL 。
下面是参照两个不同的 EDL objet 和其余字段相同的安全策略:"
验证提交"验证 firewall 配置是否具有正确的语法和语义完整。
如果用户选择执行"验证提交":
请看到以下警告:
而提交作业不会生成此类警告。
Environment
外部动态列表是基于输入的 IP 地址、网址或域名列表的地址对象,您可以在规则中使用 policy 这些列表来阻止或允许流量。
以下是两 EDL 种类型的对象 IP :
在检查列表条目时,可以确认上述 EDL 对象具有不同的 IP 列表:
Answer
预期上述行为,因为"验证提交"作业仅使用提交作业的第 0 阶段和第 1 阶段。
在第 0 阶段和第 1 阶段 EDL 期间,对象不会扩展,因此,如果安全策略的其他字段相同,则会生成阴影警告。
执行提交时,第 2 阶段也会触发,导致 EDL 对象膨胀,并且由于 EDL 对象具有不同的列表,则会避免警告 IP 。
Additional Information
在 panorama 为管理下的管理者执行"验证设备组推送"和"验证模板推送"时,将看到类似的警告 firewall panorama EDL :所执行的 firewall panorama
推送操作 panorama 是否会触发"提交所有"工作 firewall ,不会导致阴影警告。