Comment faire pour réduire le nombre d’objets de groupe d’adresses configurés sur le Firewall

Comment faire pour réduire le nombre d’objets de groupe d’adresses configurés sur le Firewall

11841
Created On 03/22/23 16:29 PM - Last Modified 11/29/23 17:28 PM


Objective


  • Vérifiez la capacité maximale du Firewall dans le nombre d’objets de groupe d’adresses.
  • Vérifiez le nombre actuel d’objets de groupe d’adresses configurés sur le Firewallfichier .
  • Réduisez les objets de groupe d’adresses d’un fichier géré localement Firewall.
  • Réduire les objets de groupe d’adresses d’un Panorama Firewallfichier .

Environment


  • NGFW
  • Objets de groupe d’adresses

Procedure


  1. Vérifiez la capacité maximale des objets de groupe d’adresses pour votre Firewall.
    1. Utilisation Firewall CLI:
      show system state | match cfg.general.max-address-group
      1. Remarque: Si la valeur est répertoriée au format hexadécimal 0x, elle doit être convertie en décimale. Les plates-formes et PAN-OS versions les plus récentes répertorient la valeur en décimales.
    2. Utilisez la page Web Sélection de produits, cliquez sur Afficher plus sous le nom de votre plate-forme pour rechercher le nombre maximal de groupes d’adresses.
    3. Pour VM-les séries Firewall, voir Limites maximales basées sur le niveau et la mémoire.
  2. Vérifiez le nombre actuel d’objets de groupe d’adresses de > groupes d’adressesComment vérifier le nombre d’objets de groupe d’adresses actuellement configurés.OBJECTS . Remarque : si votre FW est multi-vsys, vous devez ajouter le nombre d’éléments répertoriés sous chaque vsys pour obtenir le total des objets de groupe d’adresses configurés sur le FWfichier .
  3. Pour les gérés localement Firewall:
    1. Supprimez les objets de groupe d’adresses inutilisés configurés sous OBJECTS > Groupes d’adresses.
    2. Envisagez, le cas échéant, de fusionner des groupes d’adresses tout en tenant compte de la capacité maximale de votre FW nombre de membres par groupe d’adresses.
    d Firewall:
    1. Envisagez de décocher « Partager l’adresse inutilisée et les objets de service avec les appareils ».
    2. Revoyez votre hiérarchie de groupes d’appareils : envisagez de placer le ou les groupes d’appareils avec une limite de capacité inférieure sous un groupe d’appareils FWdifférent de celui du ou des FWgroupes avec une limite de capacité plus élevée.
    3. Réduisez le nombre d’objets Address configurés sous Groupes de périphériques > Groupes d’adresses >OBJECTS.
  4. Si, même après avoir suivi la recommandation répertoriée ci-dessus, vous ne parvenez pas à réduire le nombre d’objets de groupe d’adresses en dessous de la limite de capacité du , envisagez de mettre à niveau votre FW plate-forme vers une plate-forme de FW capacité supérieure.

 

Additional Information


22/03/23 - KB sera utilisé et référencé dans AIOps. Si des modifications sont nécessaires, veuillez contacter un message ou dans le canal Slack #Knowledgebase ou envoyer un KDE e-mail gcs-knowledge@paloaltonetworks.com
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000kHSUCA2&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language