Объекты в фильтрах брандмауэра на устройствах Juniper

Привет и извините за мой английский.

Я устанавливаю фильтры брандмауэра на нескольких устройствах Juniper SRX3xx, работающих под управлением Junos 15.1X49. На самом деле я пытаюсь свести к минимуму мой будущий ручной труд на случай, если мне потребуется перенастроить некоторые правила. На Cisco ASA ответ прост: используйте объекты вместо реальных IP-адресов. В случае, если вам нужно изменить IP-адрес какого-либо сервера, должен быть изменен только объект, представляющий его, в то время как все связанные правила остаются без изменений.

У Junos есть адресные книги (адресная книга безопасности...), которые служат аналогичным целям, за исключением того, что они не применяются (?!) К правилам брандмауэра (брандмауэр... фильтр... термин...). Он также имеет списки префиксов (список префиксов параметров политики...), которые теоретически могут использоваться в правилах брандмауэра (брандмауэр... фильтр... термин... из списка исходных префиксов...). Странно иметь два набора объектов, представляющих одни и те же IP-адреса, но я могу с этим смириться. Однако списки префиксов, по-видимому, представляют собой нечто большее, чем просто некоторые определения объектов для использования в других местах. Или я должен сказать не определения объектов, которые мне нужны вообще? К сожалению, эта тема довольно неясна в документации по Juniper, что в большинстве случаев отлично.

Итак, мой вопрос: как типичный администратор Junos организует свои правила брандмауэра? Должны ли это быть правила с явными IP-адресами и чем вы редактируете их в течение нескольких часов, когда вам нужно изменить один адрес? Или нормально использовать списки префиксов в правилах брандмауэра? Или, может, я что-то пропустил?