So reduzieren Sie die Anzahl der Adressobjekte, die auf dem Firewall

So reduzieren Sie die Anzahl der Adressobjekte, die auf dem Firewall

18508
Created On 03/22/23 15:53 PM - Last Modified 11/29/23 17:29 PM


Objective


  • Prüfen Sie die maximale Kapazität der Firewall in der Anzahl der Adressobjekte.
  • Überprüfen Sie die aktuelle Anzahl der konfigurierten Adressobjekte auf .Firewall
  • Reduzieren Sie die Adressobjekte einer lokal verwalteten Firewall.
  • Reduzieren Sie die Adressobjekte einer verwalteten Panorama Firewall.

Environment


  • NGFW
  • Adress Objekte

Procedure


  1. Überprüfen Sie die maximale Kapazität von Adressobjekten für Ihre Firewall.
    1. Verwendung Firewall CLI:
      show system state | match cfg.general.max-address:
      1. Hinweis: Falls der Wert im Hexadezimalformat 0x aufgeführt ist, muss er in Dezimalzahlen konvertiert werden. Die neuesten Plattformen und PAN-OS Versionen listen den Wert in Dezimalzahlen auf.
    2. Klicken Sie auf der Webseite "Produktauswahl" unter Ihrem Plattformnamen auf "Mehr anzeigen", um die maximale Anzahl von Adressobjekten zu finden.
    3. Informationen zu VM-Serien Firewall finden Sie unter Maximale Grenzwerte basierend auf Ebene und Speicher.
  2. Überprüfen Sie die aktuelle Anzahl der Adressobjekte aus OBJECTS > Adressen.So überprüfen Sie die Anzahl der aktuell konfigurierten Adressobjekte. Hinweis: Wenn es sich bei Ihrem FW Multi-vsys um ein Multi-vsys handelt, müssen Sie die Anzahl der Elemente addieren, die unter jedem vsys aufgelistet sind, um die Gesamtzahl der auf dem FWkonfigurierten Adressobjekte zu erhalten.
  3. Für lokal verwaltete Firewall:
    1. Löschen Sie die nicht verwendeten Adressobjekte, die unter OBJECTS > Adressen konfiguriert sind.
    2. Erwägen Sie gegebenenfalls, eine Gruppe eindeutiger IP Adressobjekte durch IP Subnetze oder Bereiche zu ersetzen.
  4. Für Panorama verwaltete Firewall:
    1. Erwägen Sie, die Option "Nicht verwendete Adress- und Dienstobjekte mit Geräten teilen" zu deaktivieren.
    2. Überprüfen Sie Ihre Gerätegruppenhierarchie: Erwägen Sie, die (s) mit einer geringeren Kapazitätsgrenze unter eine andere Gerätegruppe zu stellen als die FWFW(s) mit einer höheren Kapazitätsgrenze.
    3. Reduzieren Sie die Anzahl der Adressobjekte, die unter Gerätegruppen > > OBJECTS Adressen konfiguriert sind.
  5. Wenn Sie auch nach Befolgung der oben aufgeführten Empfehlung nicht in der Lage sind, die Anzahl der Adressobjekte unter die Kapazitätsgrenze zu reduzieren, FW sollten Sie ein Upgrade auf FW eine Plattform mit höherer Kapazität in Betracht ziehen.







 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHSPCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language