Comment réduire le nombre de stratégies de sécurité configurées sur le Firewall
9534
Created On 02/01/23 09:31 AM - Last Modified 09/15/23 05:14 AM
Objective
- pour vérifier la capacité maximale du Firewall dans le nombre de stratégies de sécurité.
- Pour vérifier le nombre actuel de stratégies de sécurité configurées sur le Firewallfichier .
- Pour déterminer les stratégies de sécurité qui peuvent être supprimées.
- Pour réduire les stratégies de sécurité d’un fichier . géré localement Firewall
- Pour réduire les stratégies de sécurité d’un Panorama.Firewall
Environment
- Pare-feu Palo Alto (FW)
- Soutenu PAN-OS
- Stratégies de sécurité
Procedure
- Vérifiez la capacité maximale des stratégies de sécurité pour votre Firewall.
- Utilisation Firewall CLI:
show system state filter cfg.general.max* | match max-policy-rule
Remarque: Si la valeur est répertoriée au format hexadécimal 0x, elle doit être convertie en décimale. Les plates-formes et PAN-OS versions les plus récentes répertorient la valeur en décimales.
- Utilisez la page Web Sélection de produits , cliquez sur Afficher plus sous le nom de votre plate-forme pour trouver les règles de sécurité maximales.
- Pour VM-les séries Firewall , voir Limites maximales basées sur le niveau et la mémoire.
- Vérifiez le nombre actuel de stratégies de sécurité dans GUI: Policies > Security
Remarque : si le est configuré pour plusieurs vsys, ajoutez le nombre d’éléments répertoriés sous chaque vsys pour obtenir le total des stratégies de sécurité configurées sur le FW FWfichier .
- Pour déterminer quelles stratégies de sécurité peuvent être supprimées, utilisez les éléments suivants en conséquence :
- Si AIOps-Premium surveille le et Panorama, vous pouvez optimiser votre sécurité policy à l’aide Policy d’Analyzer Firewall . Jetez un coup d’œil aux types d’anomalies détectées par Policy Analyzer
- Pour les pare-feu surveillés non-AIOps-Premium, utilisez Comment identifier les stratégies inutilisées sur un périphérique Palo Alto Networks .
- Pour les gérés localement Firewall:
- Supprimez les stratégies de sécurité inutilisées configurées sous GUI: Stratégies > Sécurité
- Pour Panorama les managés Firewall:
- Revoyez votre hiérarchie de groupes d’appareils : envisagez de placer le ou les groupes d’appareils avec une limite de capacité inférieure sous un groupe d’appareils FWdifférent de celui du ou des FWgroupes avec une limite de capacité plus élevée.
- Réduisez le nombre de stratégies de sécurité configurées sous Groupes d’appareils > stratégies > sécurité.
- Si le nombre de stratégies de sécurité ne peut pas être réduit en dessous de la limite de capacité après avoir suivi les recommandations ci-dessus, envisagez de mettre à niveau votre FW vers une plate-forme de capacité supérieure.