Mejorar el rendimiento de HTTP con DSRI

Mejorar el rendimiento de HTTP con DSRI

120658
Created On 09/25/18 19:10 PM - Last Modified 10/12/23 10:00 AM


Resolution


Resumen

Una sesión en el cortafuegos comprende dos flujos. Cliente a servidor y servidor a cliente. La función DSRI (deshabilitar la inspección de respuesta del servidor) en el cortafuegos de Palo Alto Networks puede omitir la inspección del servidor al flujo de cliente.

Detalles

Normalmente, DSRI se utiliza en entornos en los que el cortafuegos confía y protege los servidores internos. En estos casos, inspección contenido puede configurarse para que sólo cliente servidor (los usuarios de internet a servidores internos) de tráfico utilizando la opción DSRI. Haciendo esto, el servidor de flujo de clientes (servidores internos a clientes de internet) se omite después datos suficientes ha sido inspeccionados por el firewall para identificar las aplicaciones que se ejecutan sobre HTTP. Esta opción proporciona un mayor rendimiento en comparación con la inspección completa del contenido del tráfico y es útil en entornos sobrecargados con tráfico de servidor pesado dentro.

DSRI con la Directiva de anulación de aplicación (http-nsri) se puede utilizar para mejorar el rendimiento en entornos con paquetes de tamaño pequeño.

Nota: nsri representa ninguna inspección de la respuesta del servidor

Las diferencias entre los métodos son:

  • La política de anulación de la aplicación solo,
    tanto el cliente como el servidor y el flujo del cliente se omiten de la inspección de contenido (AppID + Threats) por el cortafuegos.
  • DSRI solo
    el flujo del servidor al cliente se omite de la inspección después de que el cortafuegos inspecciona una cierta cantidad de datos para identificar la aplicación. Esto se puede utilizar típicamente en entornos con alta carga de tráfico para servidores Web de confianza internos y la inspección de contenido sólo se requiere para las solicitudes HTTP.
  • DSRI habilitado junto con la Directiva de anulación de aplicaciones (seleccionar aplicación http-nsri)
    se realiza la inspección del contenido del flujo del cliente al servidor, pero se omite el flujo completo del servidor al cliente de la inspección y por lo tanto el tráfico se identifica como http-nsri. Esto se puede utilizar típicamente en entornos con alta carga de tráfico a servidores Web de confianza internos con pequeños tamaños de paquetes y la inspección de contenido se requiere sólo para solicitudes HTTP.

Pasos

Los siguientes pasos describen cómo aplicar DSRI junto con la Directiva de anulación de aplicación.

  1. Configure una directiva de anulación http-nsri. A continuación se muestra un ejemplo:
    http-nsri_1. jpg. jpg
  2. Cree una directiva de seguridad para permitir la aplicación HTTP-NSRI.
    http-nsri. JPG. jpg
  3. Marque la opción "desHabilitar inspección de respuesta del servidor" para la Directiva de seguridad creada en el paso 2.
    http-nsri_2. jpg. jpg

Los detalles de la aplicación http-nsri se pueden encontrar realizando una búsqueda en la página de objetos > Applications de la UI web (ejemplo).

http-nsri_3. jpg. jpg

Propietario: sdurga
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClV9CAK&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language