Amélioration des performances de HTTP avec DSRI

Amélioration des performances de HTTP avec DSRI

120666
Created On 09/25/18 19:10 PM - Last Modified 10/12/23 10:00 AM


Resolution


Vue d’ensemble

UNE session sur le pare-feu comprend deux flux. Client au serveur et serveur au client. La fonctionnalité DSRI (désactiver l'inspection de la réponse du serveur) sur le pare-feu de Palo Alto Networks peut être activée pour ignorer l'inspection du serveur vers le flux client.

Détails

En général, DSRI est utilisé dans les environnements où les serveurs internes sont approuvés et protégés par le pare-feu. Dans ces cas, inspection de contenu peut être configurée pour que client au trafic serveur (utilisateurs de l’internet aux serveurs internes) à l’aide de l’option de DSRI. En faisant cela, le serveur de flux Client (serveurs internes aux clients internet) est ignoré après que suffisamment de données a été inspecté par le pare-feu afin d’identifier les applications qui s’exécutent sur HTTP. Cette option fournit un débit plus élevé par rapport à l'inspection complète du contenu du trafic et est utile dans les environnements surchargés avec le trafic serveur lourd à l'intérieur.

DSRI avec App-override Policy (http-nsri) peut être utilisé pour améliorer les performances dans les environnements avec des paquets de petite taille.

Note: nsri signifie aucune inspection de réponse de serveur

Les différences entre les méthodes sont:

  • Application-override Policy seul
    le client au serveur et le serveur au flux client est ignoré de contenu (AppID + menaces) l'inspection par le pare-feu.
  • DSRI seul
    le flux du serveur vers le client est ignoré de l'inspection après qu'une certaine quantité de données est inspectée par le pare-feu afin d'identifier l'application. Cela peut généralement être utilisé dans des environnements avec une charge de trafic élevée vers les serveurs Web approuvés internes et L'inspection de contenu est nécessaire pour les requêtes http uniquement.
  • DSRI activé avec App-override Policy (sélectionnez l'application http-nsri)
    client à l'inspection du contenu du flux du serveur est fait, mais le serveur complet au flux client est ignoré de l'inspection et donc le trafic est identifié comme http-nsri. Cela peut généralement être utilisé dans des environnements avec une charge de trafic élevée vers les serveurs Web approuvés internes avec de petites tailles de paquets et L'inspection de contenu est nécessaire pour les requêtes http uniquement.

Étapes

Les étapes suivantes décrivent comment appliquer DSRI avec application-override Policy.

  1. Configurez une stratégie de substitution http-nsri. Un exemple est illustré ci-dessous :
    http-nsri_1. JPG. jpg
  2. Créez une stratégie de sécurité pour autoriser l'application HTTP-NSRI.
    http-nsri. JPG. jpg
  3. Cochez l'option "désactiver l'Inspection des réponses du serveur" pour la stratégie de sécurité créée à l'étape 2.
    http-nsri_2. JPG. jpg

Les détails de l'application http-nsri peuvent être trouvés en effectuant une recherche sur la page objets > applications de l'interface utilisateur Web (exemple).

http-nsri_3. JPG. jpg

propriétaire : sdurga
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClV9CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language