So reduzieren Sie die Anzahl der Sicherheitsrichtlinien, die auf der Firewall
9534
Created On 02/01/23 09:31 AM - Last Modified 09/15/23 05:14 AM
Objective
- Um die maximale Kapazität der in der Firewall Anzahl der Sicherheitsrichtlinien zu überprüfen.
- So überprüfen Sie die aktuelle Anzahl der konfigurierten Sicherheitsrichtlinien auf der Firewall.
- So bestimmen Sie, welche Sicherheitsrichtlinien gelöscht werden können.
- Um die Sicherheitsrichtlinien einer lokal verwalteten Firewall.
- Um die Sicherheitsrichtlinien einer Panorama-verwalteten Firewall.
Environment
- Palo Alto Firewalls (FW)
- Unterstützt PAN-OS
- Sicherheitsrichtlinien
Procedure
- Überprüfen Sie die maximale Kapazität der Sicherheitsrichtlinien für Ihre Firewall.
- Verwendung Firewall CLI:
show system state filter cfg.general.max* | match max-policy-rule
Hinweis: Falls der Wert im Hexadezimalformat 0x aufgeführt ist, muss er in eine Dezimalzahl konvertiert werden. Die neuesten Plattformen und PAN-OS Versionen listen den Wert in Dezimalzahlen auf.
- Klicken Sie auf der Webseite Produktauswahl unter Ihrem Plattformnamen auf Mehr anzeigen, um die maximalen Sicherheitsregeln zu finden.
- Informationen zu VM-Serien Firewall finden Sie unter Maximale Grenzwerte basierend auf Tier und Arbeitsspeicher.
- Überprüfen Sie die aktuelle Anzahl der Sicherheitsrichtlinien unter GUI: Richtlinien > Sicherheit
Hinweis: Wenn das für FW Multi-vsys konfiguriert ist, Fügen Sie die Anzahl der Elemente hinzu, die unter jedem vsys aufgeführt sind, um die Summe der auf .FW
- Um zu bestimmen, welche Sicherheitsrichtlinien gelöscht werden können, verwenden Sie Folgendes:
- Wenn AIOps-Premium die und Firewall Panoramaüberwacht, können Sie Ihre Sicherheit policy mit Policy Analyzer optimieren. Werfen Sie einen Blick auf die Arten von Anomalien, die Policy Analyzer erkennt
- Für nicht von AIOps-Premium überwachte Firewalls verwenden Sie How to Identify Unused Policies on a Palo Alto Networks Device .
- Für lokal verwaltete Firewall:
- Löschen Sie die nicht verwendeten Sicherheitsrichtlinien, die unter GUI: Richtlinien > Sicherheit konfiguriert sind
- Für Panorama verwaltete Firewall:
- Überprüfen Sie Ihre Gerätegruppenhierarchie: Erwägen Sie, die (s) mit einer geringeren Kapazitätsgrenze unter eine andere Gerätegruppe zu stellen als die FWFW(s) mit einer höheren Kapazitätsgrenze.
- Reduzieren Sie die Anzahl der Sicherheitsrichtlinien, die unter Gerätegruppen > Richtlinien > Sicherheit konfiguriert sind.
- Wenn die Anzahl der Sicherheitsrichtlinien nicht unter die Kapazitätsgrenze reduziert werden kann, nachdem Sie die oben genannten Empfehlungen befolgt haben, sollten Sie FW ein Upgrade auf eine Plattform mit höherer Kapazität in Betracht ziehen.