如何减少策略中使用的用户或用户组的数量

如何减少策略中使用的用户或用户组的数量

5082
Created On 07/08/24 17:05 PM - Last Modified 08/14/24 01:47 AM


Objective


  • 检查防火墙支持的策略中使用的用户组的最大数量。
  • 减少本地管理的防火墙策略中使用的 用户用户组数量。
  • 减少 Panorama 托管防火墙的策略中使用的 用户用户组数量。

Environment


  • NGFW
  • 用户
  • 用户组

Procedure


  1. 使用“产品选择”网页检查防火墙策略中使用的用户组的最大容量。 点击您的平台名称下方的显示更多,即可在 User-ID 部分下找到政策中使用的最大活跃组和唯一身份组
  2. 对于本地管理的防火墙
    1. D从策略的“源”>“用户”选项卡中删除任何未使用的用户用户组。在 UI 中导航到 POLICIES > Security
    2. 删除使用用户和/或用户组的任何未使用的策略
    3. 如果适用,请将策略中配置的一组单个 用户 替换为其 用户组
  3. 对于 Panorama 托管防火墙,
    1. D从策略的“源”>“用户”选项卡中删除任何未使用的用户用户组,导航到 UI:设备组>策略>安全性。
    2. 删除使用用户和/或用户组的任何未使用的策略
    3. 如果适用,请将策略中配置的一组单个 用户 替换为其 用户组
  4. 在策略中配置为源 用户 的每个用户都计为一个 用户组。 您可以通过以下方式确认安全策略中的 当前用户 数和 用户组 数: 
    show user group-policy-dp all
    它计算 在运行数据平面的安全策略时的用户用户组的数量。
  5. 如果在遵循上述建议后,您仍然无法将策略中使用的 用户组 数减少到防火墙的容量限制以下,则:
    1. 对于硬件防火墙,请考虑升级到更高容量的平台。
    2. 对于 VM-Flex 防火墙,如果其运行的版本低于 10.2.0,请考虑升级到高于 10.2.0 的版本,以利用 VM 系列防火墙的内存扩展功能提供的增加的配置容量。 此外,请考虑增加防火墙内存/RAM,以增加 VM-Flex 防火墙的容量。

Additional Information


注意:要减少防火墙查询的用户组数量,请参阅用户组计数超过阈值
 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HDWVCA4&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language