Commit fehlgeschlagen mit "Fehler: Sicherheit Policy '<name>' überschreitet die maximale Anzahl unterstützter Kombinationen für Service-Ports() und Anwendungen(XXXYYY)".
7957
Created On 02/18/22 01:34 AM - Last Modified 05/03/24 19:58 PM
Symptom
- Fehler beim Commit nach dem Erstellen oder Ändern einer Sicherheit policy.
- Die Fehlermeldung wird ähnlich der unten gezeigten angezeigt.
Error: Security Policy 'rule1' is exceeding maximum number of combinations supported for service ports(1000) and applications(66). To fix this, please convert this Security Policy into multiple policies by either splitting applications or service ports” Error: Failed to parse security policy (Module: device) Commit failed
Environment
- Palo Alto Firewall oder Panorama.
- PAN-OS 8.0 und höher.
- Sicherheit Policy.
Cause
- Die maximale Anzahl unterstützter Kombinationen beträgt 65535 mit Einzelsicherheit policy.
- Diese Einschränkung besteht aus Dienstports multipliziert mit Anwendungen.
- Der Commit schlägt fehl, wenn diese Anzahl überschritten wird.
Resolution
- Reduzieren Sie die Anzahl der "Service-Ports" und "Anwendungen" auf weniger als 65535 unter Single policy.
- Wenn dies nicht möglich ist, konvertieren Sie die Sicherheit Policy in mehrere Richtlinien, indem Sie entweder Anwendungen oder Dienstports auf weniger als 65535 aufteilen.
Beispiel: Wenn man 1000 Service-Ports verwenden möchte, müssen die Anwendungen kleiner als 65 in einem einzigen Security Policysein (1000* 65 = 65000).