DSRI を使用した HTTP のパフォーマンスの向上

概要

ファイアウォール上のセッションは、2つのフローで構成されます。クライアントからクライアントへのサーバーとサーバー。パロアルトネットワークファイアウォールの DSRI (サーバー応答検査を無効にする) 機能を有効にして、サーバーの検査をクライアントフローにスキップすることができます。

詳細

通常、DSRI は、内部サーバーがファイアウォールによって信頼および保護されている環境で使用されます。これらの場合、コンテンツの検査は DSRI オプションを使用してサーバー (インターネット ユーザーが内部サーバー) 間のトラフィックをクライアントのみに対して構成できます。これにより、十分なデータが HTTP 経由で実行されるアプリケーションを識別するためにファイアウォールによって検査されている後、クライアントの流れ (インターネット クライアントに内部サーバー) にサーバーはスキップされます。このオプションを使用すると、トラフィックの完全なコンテンツ検査と比較してスループットが向上し、サーバーのトラフィックが大量に含まれるオーバーロードされた環境で役立ちます。

DSRI ポリシー (HTTP-原子力科学研究所) を使用すると、小さいサイズのパケットを含む環境でのパフォーマンスを向上させることができます。

注:原子力科学研究所は、サーバーの応答検査の略

メソッドの違いは次のとおりです。

• アプリケーションの上書きポリシーだけでは、
  クライアントからサーバー、およびサーバーからクライアントへのフローは、ファイアウォールによるコンテンツ (AppID + 脅威) の検査からはスキップされます。
• DSRI 単独では、アプリケーションを識別するために、
  ファイアウォールによって一定量のデータが検査された後、サーバーからクライアントへのフローは検査からスキップされます。これは通常、内部の信頼された web サーバーへのトラフィック負荷が高い環境で使用でき、http 要求に対してのみコンテンツの検査が必要になります。
• DSRI は、アプリの上書きポリシー (アプリケーションの http-原子力科学研究所を選択)
  クライアントからサーバーへのフローコンテンツの検査が行われますが、サーバーからクライアントへの完全なフローは検査からスキップされるため、トラフィックは HTTP 原子力科学研究所として識別されます。これは通常、パケットサイズが小さい内部の信頼された web サーバーへのトラフィック負荷の高い環境で使用でき、http 要求に対してのみコンテンツの検査が必要になります。

手順

次の手順では、DSRI をアプリオーバーライドポリシーと共に適用する方法について説明します。

1. 原子力科学研究所オーバーライドポリシーを構成します。次に例を示します。
   
2. 原子力科学研究所アプリケーションを許可するセキュリティポリシーを作成します。
   
3. 手順2で作成したセキュリティポリシーの [サーバー応答検査を無効にする] オプションをオンにします。
   

原子力科学研究所アプリケーションの詳細については、web UI (例) の [オブジェクト] > [アプリケーション] ページで検索を実行します。

所有者: sdurga