EDL Verweise gingen in der Sicherheitsregel nach dem Konfigurationsimport in Panorama
6737
Created On 07/05/21 15:09 PM - Last Modified 03/02/23 05:55 AM
Symptom
Nach dem Import der Backup-Konfiguration in eine neue Panorama und dem Pushen der Konfiguration auf die verwalteten Geräte wird ein Teil des Datenverkehrs, der von vordefinierten EDL Objekten abhängt, verweigert, anstatt gemäß der Konfiguration zugelassen zu werden.
Details, wenn das Problem sichtbar ist:
- Spin up NEW-Panorama.Installieren Sie nicht das Anti-Virus-Update (AV) auf dem New-Panorama
- Exportieren Sie die laufende Konfiguration aus OLD-Panorama und laden Sie sie in die New-Panorama. Laden Sie die Konfiguration in New-Panorama und führen Sie einen lokalen Commit durch.
- Der Commit wird gut ausgeführt, aber die Sicherheitsrichtlinien, bei denen die vordefiniertenEDL Referenzen als Quelle / Ziel konfiguriert waren, würden das Problem auftreten.
- Da Panorama keine gültige AV Version verfügbar ist und die vordefinierten EDL Referenzen davon abhängen, wird die Quelle/das Ziel durch "Any" ersetzt.
- Nach dem Commit und Push sind alle verwalteten Firewalls betroffen, die über solche Richtlinien verfügen.
Environment
- Panorama mit Managed Firewalls
- PAN-OS 9.1 und höher.
- Antiviren-Updates.
- EDL (Externe dynamische Liste)
Cause
Da Panorama keine gültige AV Version verfügbar ist und die vordefinierten EDL Referenzen davon abhängen, wird die Quelle/das Ziel durch "Any" ersetzt.
Resolution
- Installieren Sie die erforderlichen dynamischen Updates, bevor Sie die Sicherungskonfiguration importieren.
- Dies ist notwendig, wenn die Konfiguration Elemente enthält, die von solchen Updates abhängen, wie EDL zum Beispiel.
Additional Information
Weitere DetailsPAN-158511, um einen Commit zu verhindern, wenn Panorama solche Bedingungen erfüllt sind.
28. Dezember 22 (Vijay) - Artikel aktualisiert mit Adnan und veröffentlicht extern