提交失败,出现“错误:安全Policy'<name>' 超过了服务端口支持的最大组合数(XXX ) 和应用程序 (YYY )”。
7953
Created On 02/18/22 01:34 AM - Last Modified 05/03/24 19:58 PM
Symptom
- 创建或修改证券后提交失败policy.
- 看到的错误消息类似于下面显示的错误消息。
Error: Security Policy 'rule1' is exceeding maximum number of combinations supported for service ports(1000) and applications(66). To fix this, please convert this Security Policy into multiple policies by either splitting applications or service ports” Error: Failed to parse security policy (Module: device) Commit failed
Environment
- 帕洛阿尔托Firewall或者Panorama.
- PAN-OS 8.0 及更高版本。
- 安全Policy.
Cause
- 支持的最大组合数为 65535 单一证券policy.
- 此限制是服务端口乘以应用程序。
- 如果超过此数量,提交将失败。
Resolution
- 单机下“服务端口”和“应用”数量减少到65535以下policy.
- 如果无法做到这一点,请转换证券Policy通过将应用程序或服务端口拆分为少于 65535 个来将其划分为多个策略。
例子:如果要使用1000个服务端口,单个安全应用程序必须少于65个Policy(1000 * 65 = 65000)。