So reduzieren Sie die Anzahl der NAT Richtlinien, die auf der Firewall

So reduzieren Sie die Anzahl der NAT Richtlinien, die auf der Firewall

8931
Created On 02/03/23 07:59 AM - Last Modified 11/29/23 17:47 PM


Objective


  • Um die maximale Kapazität der in der Anzahl der Firewall NAT Richtlinien zu überprüfen.
  • So überprüfen Sie die aktuelle Anzahl der konfigurierten NAT Richtlinien auf der Firewall.
  • So bestimmen Sie, welche NAT Richtlinien gelöscht werden können.
  • Um die NAT Richtlinien einer lokal verwalteten Firewall.
  • Um die NAT Richtlinien einer Panorama-verwalteten Firewall.

Environment


  • Palo Alto Firewall (FW)
  • Unterstützt PAN-OS
  • NAT Richtlinien

Procedure


  1. Überprüfen Sie die maximale Kapazität von NAT Richtlinien für Ihre Firewall.
    1. Verwendung Firewall CLI: 
show system state filter cfg.general.max* | match nat
Hinweis: Falls der Wert im Hexadezimalformat 0x aufgeführt ist, muss er in eine Dezimalzahl konvertiert werden. Die neuesten Plattformen und PAN-OS Versionen listen den Wert in Dezimalzahlen auf.
  1. Verwenden Sie die Webseite Produktauswahl: Klicken Sie unter Ihrem Plattformnamen auf Mehr anzeigen, um die maximalen Regeln zu finden NAT .
  2. Informationen zu VM-Serien Firewall finden Sie unter Maximale Grenzwerte basierend auf Tier und Arbeitsspeicher.
 
  1. Überprüfen Sie die aktuelle Anzahl von NAT Richtlinien unter Richtlinien > NAT
NAT.png
Anmerkung: Wenn das für Firewall mehrere vsys konfiguriert ist, fügen Sie die Anzahl der Elemente hinzu, die unter jedem vsys aufgeführt sind, um die Summe der auf der NAT FW.
  1. Um zu bestimmen, welche NAT Richtlinien gelöscht werden können, verwenden Sie Tipps und Tricks: So identifizieren Sie nicht verwendete Richtlinien auf einem Palo Alto Networks-Gerät. Obwohl sich der Artikel auf Sicherheit Policykonzentriert, kann das gleiche Prinzip auf Richtlinien angewendet werden NAT .
  2. Für lokal verwaltete FirewallPersonen:
    1. Löschen Sie die nicht verwendeten NAT Richtlinien, die unter Richtlinien konfiguriert sind> NAT
  3. Für Panorama verwaltete Firewall:
    1. Überprüfen Sie Ihre Gerätegruppenhierarchie: Erwägen Sie, die (s) mit einer geringeren Kapazitätsgrenze unter eine andere Gerätegruppe zu stellen als die FWFW(s) mit einer höheren Kapazitätsgrenze.
    2. Reduzieren Sie die Anzahl der NAT Richtlinien, die unter Gerätegruppen > Richtlinien > NATkonfiguriert sind.
  4. Wenn die Anzahl der NAT Richtlinien nicht unter die Kapazitätsgrenze reduziert werden kann, nachdem Sie die oben genannten Empfehlungen befolgt haben, sollten Sie ein Upgrade der Firewall Plattform auf eine Plattform mit höherer Kapazität in Betracht ziehen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kGnlCAE&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language