利用 DSRI 提高 HTTP 性能

概述

防火墙上的会话包括两个流。客户端到服务器和服务器到客户端。可以启用帕洛阿尔托网络防火墙上的 DSRI (禁用服务器响应检查) 功能, 以跳过服务器对客户端流的检查。

详细

通常 DSRI 在内部服务器受防火墙信任和保护的环境中使用。在这些情况下，可以仅客户端到服务器 （互联网用户访问内部服务器） 交通使用 DSRI 选项配置内容检查。通过这样做，服务器向客户端流量 （内部服务器到 internet 客户端） 跳过之后足够数据曾视察过防火墙，以确定通过 HTTP 运行的应用程序。与通信量的完全内容检查相比, 此选项提供了更高的吞吐量, 并且在服务器通信量很大的重载环境中很有用。

使用应用程序重写策略的 DSRI (HTTP NSRI) 可用于在较小大小的数据包环境中提高性能。

注: NSRI 代表无服务器响应检查

这些方法之间的差异有:

• 仅应用重写策略
  客户端到服务器和服务器到客户端流都从防火墙的内容 (AppID + 威胁) 检查中跳过.
• DSRI 仅
  当防火墙检查了一定量的数据以识别应用程序时, 才会从检查中跳过服务器到客户端流. 这通常可以在具有高通信量负载的环境中使用, 而对内部受信任的 web 服务器来说, 只需要对 http 请求进行内容检查。
• DSRI 启用了应用程序重写策略 (选择应用程序 HTTP NSRI)
  客户端到服务器流内容检查, 但从检查中跳过完整的服务器到客户端流, 从而将通信标识为 HTTP NSRI. 这通常可以在具有高流量负载的环境中使用, 而内部受信任的 web 服务器具有较小的包大小, 并且仅需要对 http 请求进行内容检查。

步骤

以下步骤描述如何应用 DSRI 以及应用程序重写策略。

1. 配置 HTTP NSRI 重写策略。下面显示了一个示例：
   
2. 创建安全策略以允许 HTTP NSRI 应用程序。
   
3. 检查步骤2中创建的安全策略的 "禁用服务器响应检查" 选项。
   

通过在 web UI (示例) 的 "对象 > 应用程序" 页上执行搜索, 可以找到 HTTP NSRI 应用程序的详细信息。

所有者︰ sdurga