So reduzieren Sie die Anzahl der Adressgruppenobjekte, die auf dem Firewall

So reduzieren Sie die Anzahl der Adressgruppenobjekte, die auf dem Firewall

11841
Created On 03/22/23 16:29 PM - Last Modified 11/29/23 17:28 PM


Objective


  • Prüfen Sie die maximale Kapazität der Firewall in der Anzahl der Adressgruppenobjekte.
  • Überprüfen Sie die aktuelle Anzahl der konfigurierten Adressgruppenobjekte auf .Firewall
  • Reduzieren Sie die Adressgruppenobjekte einer lokal verwalteten Firewall.
  • Reduzieren Sie die Adressgruppenobjekte einer verwalteten Panorama Firewall.

Environment


  • NGFW
  • Adressgruppenobjekte

Procedure


  1. Überprüfen Sie die maximale Kapazität von Adressgruppenobjekten für Ihre Firewall.
    1. Verwendung Firewall CLI:
      show system state | match cfg.general.max-address-group
      1. Hinweis: Falls der Wert im Hexadezimalformat 0x aufgeführt ist, muss er in Dezimalzahlen konvertiert werden. Die neuesten Plattformen und PAN-OS Versionen listen den Wert in Dezimalzahlen auf.
    2. Klicken Sie auf der Webseite "Produktauswahl" unter Ihrem Plattformnamen auf "Mehr anzeigen", um die maximale Anzahl von Adressgruppen zu finden.
    3. Informationen zu VM-Serien Firewall finden Sie unter Maximale Grenzwerte basierend auf Ebene und Speicher.
  2. Überprüfen Sie die aktuelle Anzahl der Adressgruppenobjekte aus OBJECTS > Adressgruppen.So überprüfen Sie die Anzahl der aktuell konfigurierten Adressgruppenobjekte. Hinweis: Wenn es sich um mehrere vsys handelt, müssen Sie die Anzahl der Elemente addieren, die unter jedem vsys aufgelistet sind, um FW die Gesamtzahl der auf der FWkonfigurierten Adressgruppenobjekte zu erhalten.
  3. Für lokal verwaltete Firewall:
    1. Löschen Sie die nicht verwendeten Adressgruppenobjekte, die unter OBJECTS > Adressgruppen konfiguriert sind.
    2. Erwägen Sie ggf. das Zusammenführen von Adressgruppen unter Berücksichtigung der maximalen Anzahl von FW Mitgliedern pro Adressgruppe.
    D Firewall:
    1. Erwägen Sie, die Option "Nicht verwendete Adress- und Dienstobjekte mit Geräten teilen" zu deaktivieren.
    2. Überprüfen Sie Ihre Gerätegruppenhierarchie: Erwägen Sie, die (s) mit einer geringeren Kapazitätsgrenze unter eine andere Gerätegruppe zu stellen als die FWFW(s) mit einer höheren Kapazitätsgrenze.
    3. Reduzieren Sie die Anzahl der Adressobjekte, die unter Gerätegruppen konfiguriert sind, > > OBJECTS Adressgruppen.
  4. Wenn Sie auch nach Befolgung der oben aufgeführten Empfehlung nicht in der Lage sind, die Anzahl der Adressgruppenobjekte unter die Kapazitätsgrenze zu reduzieren, FW sollten Sie ein Upgrade FW auf eine Plattform mit höherer Kapazität in Betracht ziehen.

 

Additional Information


22.03.23 - KB wird verwendet und in AIOps referenziert. Wenn Änderungen erforderlich sind, wende dich bitte an eine KDE Nachricht im #Knowledgebase Slack Channel oder per E-Mail gcs-knowledge@paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHSUCA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language