Amélioration des performances de HTTP avec DSRI
Resolution
Vue d’ensemble
UNE session sur le pare-feu comprend deux flux. Client au serveur et serveur au client. La fonctionnalité DSRI (désactiver l'inspection de la réponse du serveur) sur le pare-feu de Palo Alto Networks peut être activée pour ignorer l'inspection du serveur vers le flux client.
Détails
En général, DSRI est utilisé dans les environnements où les serveurs internes sont approuvés et protégés par le pare-feu. Dans ces cas, inspection de contenu peut être configurée pour que client au trafic serveur (utilisateurs de l’internet aux serveurs internes) à l’aide de l’option de DSRI. En faisant cela, le serveur de flux Client (serveurs internes aux clients internet) est ignoré après que suffisamment de données a été inspecté par le pare-feu afin d’identifier les applications qui s’exécutent sur HTTP. Cette option fournit un débit plus élevé par rapport à l'inspection complète du contenu du trafic et est utile dans les environnements surchargés avec le trafic serveur lourd à l'intérieur.
DSRI avec App-override Policy (http-nsri) peut être utilisé pour améliorer les performances dans les environnements avec des paquets de petite taille.
Note: nsri signifie aucune inspection de réponse de serveur
Les différences entre les méthodes sont:
- Application-override Policy seul
le client au serveur et le serveur au flux client est ignoré de contenu (AppID + menaces) l'inspection par le pare-feu. - DSRI seul
le flux du serveur vers le client est ignoré de l'inspection après qu'une certaine quantité de données est inspectée par le pare-feu afin d'identifier l'application. Cela peut généralement être utilisé dans des environnements avec une charge de trafic élevée vers les serveurs Web approuvés internes et L'inspection de contenu est nécessaire pour les requêtes http uniquement. - DSRI activé avec App-override Policy (sélectionnez l'application http-nsri)
client à l'inspection du contenu du flux du serveur est fait, mais le serveur complet au flux client est ignoré de l'inspection et donc le trafic est identifié comme http-nsri. Cela peut généralement être utilisé dans des environnements avec une charge de trafic élevée vers les serveurs Web approuvés internes avec de petites tailles de paquets et L'inspection de contenu est nécessaire pour les requêtes http uniquement.
Étapes
Les étapes suivantes décrivent comment appliquer DSRI avec application-override Policy.
- Configurez une stratégie de substitution http-nsri. Un exemple est illustré ci-dessous :
- Créez une stratégie de sécurité pour autoriser l'application HTTP-NSRI.
- Cochez l'option "désactiver l'Inspection des réponses du serveur" pour la stratégie de sécurité créée à l'étape 2.
Les détails de l'application http-nsri peuvent être trouvés en effectuant une recherche sur la page objets > applications de l'interface utilisateur Web (exemple).
propriétaire : sdurga