如何减少配置的地址组对象的数量 Firewall

11853

Created On 03/22/23 16:29 PM - Last Modified 11/29/23 17:28 PM

Objective

检查最大容量地址组对象为您Firewall.
1. 使用FirewallCLI:
```
show system state | match cfg.general.max-address-group
```
  1. 笔记：如果该值以十六进制格式 0x 列出，则需要将其转换为十进制。最近的平台和PAN-OS版本将以十进制列出值。
2. 使用产品选择网页点击展示更多在您的平台名称下找到最大值地址组。
3. 为了VM-系列Firewall看基于层和内存的最大限制.
查看当前人数地址组对象从OBJECTS>地址组。笔记: 如果你的FW如果是多 vsys，则需要将每个 vsys 下列出的项目数相加，以获得在 vsys 上配置的地址组对象总数FW.
为了本地管理Firewall:
1. 删除下配置的未使用的地址组对象OBJECTS> 地址组。
2. 在适用的情况下，考虑合并地址组，同时考虑您的最大容量FW每个地址组的成员数。
dFirewall :
1. 考虑取消选中“与设备共享未使用的地址和服务对象”。
2. 重新审视您的设备组层次结构：考虑将FW(s) 在不同设备组下的容量限制小于FW(s) 具有更高的容量限制。
3. 减少配置的地址对象数量设备组 >OBJECTS > 地址组.
如果即使遵循上面列出的建议，您仍无法将地址组对象的数量减少到容量限制以下FW然后考虑升级你的FW到更高容量的平台。

23 年 3 月 22 日 -KB将在 AIOps 中使用和参考。如果需要任何更改，请联系KDE或在#Knowledgebase Slack Channel 中发消息，或发送电子邮件gcs-knowledge@paloaltonetworks.com