Verbesserung der Leistung von HTTP mit DSRI

Verbesserung der Leistung von HTTP mit DSRI

120672
Created On 09/25/18 19:10 PM - Last Modified 10/12/23 10:00 AM


Resolution


Übersicht

EINE Session auf der Firewall besteht aus zwei strömen. Client zu Server und Server zu Client. Die DSRI-Funktion (Deaktivieren der Server-Response-Inspektion) auf der Palo Alto Networks Firewall kann aktiviert werden, um die Inspektion des Servers auf den Client-Flow zu überspringen.

Details

Typischerweise wird DSRI in Umgebungen verwendet, in denen interne Server von der Firewall vertraut und geschützt werden. In diesen Fällen kann Inhalte Inspektion nur Client Datenverkehr auf dem Server (Internet-Nutzer auf interne Server) mit der Option "DSRI" konfiguriert werden. Auf diese Weise wird der Server zu Client fließen (interne Server, Internet-Clients) übersprungen, nachdem genügend Daten von der Firewall zu identifizieren, die über HTTP ausgeführten Anwendungen kontrolliert worden ist. Diese Option bietet einen höheren Durchsatz im Vergleich zur vollständigen inhaltlicher Kontrolle des Verkehrs und ist in überlasteten Umgebungen mit schwerem innen-Server-Verkehr nützlich.

DSRI mit App-override-Richtlinien (HTTP-NSRI) kann verwendet werden, um die Leistung in Umgebungen mit kleinen Paketen zu verbessern.

Hinweis: NSRI steht für keine Server-Response-Inspektion

Die Unterschiede zwischen den Methoden sind:

  • APP-override-Richtlinien allein
    der Client zu Server und Server zum Client-Flow wird von Content (AppID + Bedrohungen) Inspektion durch die Firewall übersprungen.
  • DSRI allein
    der Server zum Client-Flow wird von der Inspektion übersprungen, nachdem eine bestimmte Datenmenge von der Firewall überprüft wird, um die Anwendung zu identifizieren. Dies kann typischerweise in Umgebungen mit hoher Verkehrsbelastung zu internen, vertrauenswürdigen Web-Servern verwendet werden, und die Content-Inspektion ist nur für http-Anfragen erforderlich.
  • DSRI ermöglichte zusammen mit App-override-Richtlinien (Select Application HTTP-NSRI)
    Client zur Server-Flow-Content-Inspektion, aber der komplette Server zum Client-Flow wird von der Inspektion übersprungen und somit der Traffic als http-NSRI identifiziert. Dies kann in der Regel in Umgebungen mit hoher Verkehrsbelastung zu internen vertrauenswürdigen Web-Servern mit kleinen Paketgrößen verwendet werden und Content-Inspektion ist nur für http-Anfragen erforderlich.

Schritte

Die folgenden Schritte beschreiben, wie DSRI zusammen mit App-override-Richtlinien angewendet werden soll.

  1. Konfigurieren Sie eine HTTP-NSRI override-Richtlinie. Ein Beispiel ist nachfolgend dargestellt:
    http-nsri_1. JPG. jpg
  2. Erstellen Sie eine Sicherheitsrichtlinie, um die HTTP-NSRI-Anwendung zu ermöglichen.
    http-NSRI. JPG. jpg
  3. ÜberPrüfen Sie die Option "Server-Response-Inspektion deaktivieren" für die Sicherheitsrichtlinien, die in Schritt 2 erstellt wurden.
    http-nsri_2. JPG. jpg

Details zur HTTP-NSRI-Anwendung finden Sie, indem Sie eine Suche auf der Seite "Objekte > Anwendungen" des Web-UI (Beispiel) durchführen.

http-nsri_3. JPG. jpg

Besitzer: Sdurga
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClV9CAK&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language