ポリシーで使用されるユーザーまたはユーザーグループの数を減らす方法
5088
Created On 07/08/24 17:05 PM - Last Modified 08/14/24 01:46 AM
Objective
- ファイアウォールでサポートされているポリシーで使用されるユーザーグループの最大数を確認します。
- ローカルで管理されているファイアウォールのポリシーで使用されるユーザーとユーザーグループの数を減らします。
- Panorama 管理ファイアウォールのポリシーで使用されるユーザーとユーザーグループの数を減らします。
Environment
- NGFW
- ユーザー
- ユーザーグループ
Procedure
- ファイアウォールのポリシーで使用されているユーザーグループの 最大容量は、製品選択 Web ページを使用して確認します。 プラットフォーム名の下にある [詳細を表示] をクリックすると、ポリシーで使用されるアクティブ グループとユニーク グループ の最大数が [User-ID ] セクションに表示されます。
- ローカル管理のファイアウォールの場合、
- 未使用のユーザーとユーザーグループをポリシーの[ソース]タブ>[ユーザー]タブから選択します。UI で [ポリシー] > [セキュリティ ] に移動します。
- ユーザーやユーザーグループを使用している未使用のポリシーをすべて削除します。
- 該当する場合は、ポリシーで設定された個々の ユーザーの グループを ユーザーグループで置き換えます。
- Panorama Managed Firewallの場合、
- ポリシーの [Source > USER] タブから未使用のユーザーとユーザー グループを選択し、[UI] の [Device Groups] >から [POLICIES] > [Security] に移動します。
- ユーザーやユーザーグループを使用している未使用のポリシーをすべて削除します。
- 該当する場合は、ポリシーで設定された個々の ユーザーの グループを ユーザーグループで置き換えます。
- ポリシーでソース ユーザー として設定された各ユーザーは、 ユーザー グループとしてカウントされます。 セキュリティポリシーのユーザーとユーザーグループの現在の数は、次のように確認できます。
show user group-policy-dp all
これは、 データプレーンの実行中のセキュリティポリシー内のユーザーとユーザーグループの数を計算します。 - 上記の推奨事項に従った後も、ポリシーで使用される ユーザーグループ の数をファイアウォールの容量制限より下に減らすことができない場合は、次の操作を行います。
- ハードウェア ファイアウォールの場合は、より大容量のプラットフォームへのアップグレードを検討してください。
- VM-Flex ファイアウォールが 10.2.0 より前のバージョンを実行している場合は、10.2.0 より大きいバージョンにアップグレードして、VM-Series ファイアウォール機能のメモリ スケーリングによって提供される構成容量の増加を活用することを検討してください。 また、ファイアウォールのメモリ/RAM を増やして、VM-Flex ファイアウォールの容量を増やすことも検討してください。
Additional Information
注: ファイアウォールによってクエリされるユーザーグループの数を減らすには、ユーザーグループ数がしきい値を超えています。