如何验证是否firewall接近或已达到其最大 URL 容量或IP外部动态列表中的地址

如何验证是否firewall接近或已达到其最大 URL 容量或IP外部动态列表中的地址

17222
Created On 03/23/23 23:58 PM - Last Modified 01/16/25 23:02 PM


Objective


  • 检查是否firewall接近或已达到其“每个系统的最大 IP/URL 数量”
  • 减少 URL 和/或 IP 的数量EDL的配置上 firewall

Environment


  • NGFW
  • 外部动态列表 (EDL的)
  • 安全 Policy

Procedure


  1. 检查最大容量每个系统的最大 IP或者每个系统的最大 URL为您firewall模型
  1. 使用firewallCLI:
> show system state filter cfg.general.max-edl-ip
cfg.general.max-edl-ip: 50000
> show system state filter cfg.general.max-edl-url
cfg.general.max-edl-url: 50000
  1. 使用产品比较工具找到每个系统的最大 IP每个系统的最大 URL (看EDL部分)
  2. 为了VM-系列防火墙,请参阅基于层和内存的最大限制(看EDL部分)
  1. 验证是否firewall接近或已达到其任何值的总容量:
    1. 导航对象 > 外部动态列表 >点击列出容量
对象 > 外部动态列表 > 列表容量按钮的屏幕截图
  1. 使用firewallCLI:
> request system external-list list-capacities

List Type               Currently used in policy        Total Capacity
IP                      0                               50000
Domain                  0                               50000
URL                     0                               50000
IMSI/IMEI               0                               2000
Predefined-IP           6631                            50000
注意:只有在使用外部动态列表时,列表条目才计入最大值policy. 如果超过模型支持的最大条目数,firewall生成系统日志并跳过超过限制的条目。 更多信息
  1. 发现哪个EDL包含大量(或任何未使用/不必要的)IP或者URL条目
    1. 导航对象 > 外部动态列表 >编辑EDL> 点击列出条目和例外
对象 > 外部动态列表 Web 的屏幕截图UI您可以查看的页面EDL IP或者URL列表条目
  1. 前往EDL来源(不在firewall), 并删除该列表中任何不必要/未使用的条目
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sb8eCAA&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language