Cómo reducir el número de directivas de seguridad configuradas en el Firewall
9534
Created On 02/01/23 09:31 AM - Last Modified 09/15/23 05:14 AM
Objective
- Para comprobar la capacidad máxima de la Firewall en el número de Políticas de Seguridad.
- Para comprobar el número actual de directivas de seguridad configuradas en el Firewallarchivo .
- Para determinar qué directivas de seguridad se pueden eliminar.
- Para reducir las políticas de seguridad de un Firewallarchivo .
- Para reducir las directivas de seguridad de un Panoramaarchivo .Firewall
Environment
- Cortafuegos de Palo Alto (FW)
- Apoyado PAN-OS
- Políticas de seguridad
Procedure
- Compruebe la capacidad máxima de las directivas de seguridad para su Firewallarchivo .
- Uso Firewall CLI:
show system state filter cfg.general.max* | match max-policy-rule
Nota: En caso de que el valor aparezca en formato hexadecimal 0x, debe convertirse a decimal. Las plataformas y PAN-OS versiones más recientes mostrarán el valor en decimal.
- Utilice la página web Selección de productos y haga clic en Mostrar más debajo del nombre de su plataforma para encontrar las reglas de seguridad máximas.
- Para VM-ver Series Firewall , consulte Límites máximos basados en niveles y memoria.
- Compruebe el número actual de políticas de seguridad en GUI: Políticas > seguridad
Nota: si el está configurado para multi-vsys, agregue el número de elementos enumerados en cada vsys para obtener el total de políticas de seguridad configuradas en el FW FW.
- Para determinar qué directivas de seguridad se pueden eliminar, use lo siguiente en consecuencia:
- Si AIOps-Premium supervisa el Firewall y Panorama, puede optimizar su seguridad policy utilizando Policy Analyzer . Eche un vistazo a los tipos de anomalías que Policy detecta Analyzer
- Para firewalls monitoreados que no son AIOps-Premium, use Cómo identificar políticas no utilizadas en un dispositivo de Palo Alto Networks .
- Para la gestión local: Firewall
- Elimine las directivas de seguridad no utilizadas configuradas en GUI: Directivas > seguridad
- Para Panorama gestionar: Firewall
- Revise la jerarquía de grupos de dispositivos: considere colocar los (los FW) con menor límite de capacidad en un grupo de dispositivos diferente al FW(los) con un límite de capacidad más alto.
- Reduzca el número de directivas de seguridad configuradas en Grupos de dispositivos > Directivas > Seguridad.
- Si el número de directivas de seguridad no se puede reducir por debajo del límite de capacidad después de seguir las recomendaciones anteriores, considere la posibilidad de actualizar a FW una plataforma de mayor capacidad.