Comment vérifier si le firewall est proche ou a atteint sa capacité maximale d’URL ou IP d’adresses dans les listes dynamiques externes

Comment vérifier si le firewall est proche ou a atteint sa capacité maximale d’URL ou IP d’adresses dans les listes dynamiques externes

17224
Created On 03/23/23 23:58 PM - Last Modified 01/16/25 23:02 PM


Objective


  • Vérifiez si le firewall est proche ou a atteint son « Nombre maximal d'adresses IP / URL par système »
  • Réduisez le nombre d'URL et/ou d'adresses IP dans les EDLet configurées sur un firewall

Environment


  • NGFW
  • Listes dynamiques externes (EDL's)
  • Sécurité Policy

Procedure


  1. Vérifiez la capacité maximale d’adresses IP maximales par système ou d’URL maximales par système pour votre firewall modèle
  1. Utilisation de firewall CLI:
> show system state filter cfg.general.max-edl-ip
cfg.general.max-edl-ip: 50000
> show system state filter cfg.general.max-edl-url
cfg.general.max-edl-url: 50000
  1. Utilisez l’outil de comparaison de produits pour trouver les adresses IP maximales par système et les URL maximales par système (voir EDL la section)
  2. Pour VM-les pare-feu de série, voir Limites maximales basées sur le niveau et la mémoire (voir EDL la section)
  1. Vérifiez si le firewall est proche ou a atteint sa capacité totale pour toutes les valeurs :
    1. Accédez à Objets > Listes dynamiques externes > cliquez sur Capacités de liste
Capture d’écran du bouton Objets > Listes dynamiques externes > Capacités des listes
  1. Utilisation de firewall CLI:
> request system external-list list-capacities

List Type               Currently used in policy        Total Capacity
IP                      0                               50000
Domain                  0                               50000
URL                     0                               50000
IMSI/IMEI               0                               2000
Predefined-IP           6631                            50000
Remarque : Les entrées de liste ne sont comptabilisées au maximum que si la liste dynamique externe est utilisée dans policy. Si vous dépassez le nombre maximal d’entrées prises en charge par le modèle, le firewall génère un journal système et ignore les entrées qui dépassent la limite. Plus d’infos
  1. Découvrez ce qui EDL contient un grand nombre d’entrées (ou inutilisées/inutiles) IP URL
    1. Accédez à Objets > Listes dynamiques externes > modifiez EDL > cliquez sur Entrées de liste et exceptions
Capture d’écran de la page Web UI Objets > listes dynamiques externes dans laquelle vous pouvez afficher EDL IP ou URL Lister des entrées
  1. Accédez à la EDL source (et non sur le firewall) et supprimez toutes les entrées inutiles / inutilisées de cette liste
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sb8eCAA&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language