DSRI を使用した HTTP のパフォーマンスの向上
135460
Created On 09/25/18 19:10 PM - Last Modified 10/12/23 10:00 AM
Resolution
概要
ファイアウォール上のセッションは、2つのフローで構成されます。クライアントからクライアントへのサーバーとサーバー。パロアルトネットワークファイアウォールの DSRI (サーバー応答検査を無効にする) 機能を有効にして、サーバーの検査をクライアントフローにスキップすることができます。
詳細
通常、DSRI は、内部サーバーがファイアウォールによって信頼および保護されている環境で使用されます。これらの場合、コンテンツの検査は DSRI オプションを使用してサーバー (インターネット ユーザーが内部サーバー) 間のトラフィックをクライアントのみに対して構成できます。これにより、十分なデータが HTTP 経由で実行されるアプリケーションを識別するためにファイアウォールによって検査されている後、クライアントの流れ (インターネット クライアントに内部サーバー) にサーバーはスキップされます。このオプションを使用すると、トラフィックの完全なコンテンツ検査と比較してスループットが向上し、サーバーのトラフィックが大量に含まれるオーバーロードされた環境で役立ちます。
DSRI ポリシー (HTTP-原子力科学研究所) を使用すると、小さいサイズのパケットを含む環境でのパフォーマンスを向上させることができます。
注:原子力科学研究所は、サーバーの応答検査の略
メソッドの違いは次のとおりです。
- アプリケーションの上書きポリシーだけでは、
クライアントからサーバー、およびサーバーからクライアントへのフローは、ファイアウォールによるコンテンツ (AppID + 脅威) の検査からはスキップされます。 - DSRI 単独では、アプリケーションを識別するために、
ファイアウォールによって一定量のデータが検査された後、サーバーからクライアントへのフローは検査からスキップされます。これは通常、内部の信頼された web サーバーへのトラフィック負荷が高い環境で使用でき、http 要求に対してのみコンテンツの検査が必要になります。 - DSRI は、アプリの上書きポリシー (アプリケーションの http-原子力科学研究所を選択)
クライアントからサーバーへのフローコンテンツの検査が行われますが、サーバーからクライアントへの完全なフローは検査からスキップされるため、トラフィックは HTTP 原子力科学研究所として識別されます。これは通常、パケットサイズが小さい内部の信頼された web サーバーへのトラフィック負荷の高い環境で使用でき、http 要求に対してのみコンテンツの検査が必要になります。
手順
次の手順では、DSRI をアプリオーバーライドポリシーと共に適用する方法について説明します。
- 原子力科学研究所オーバーライドポリシーを構成します。次に例を示します。
- 原子力科学研究所アプリケーションを許可するセキュリティポリシーを作成します。
- 手順2で作成したセキュリティポリシーの [サーバー応答検査を無効にする] オプションをオンにします。
原子力科学研究所アプリケーションの詳細については、web UI (例) の [オブジェクト] > [アプリケーション] ページで検索を実行します。
所有者: sdurga