Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
利用 DSRI 提高 HTTP 性能 - Knowledge Base - Palo Alto Networks

利用 DSRI 提高 HTTP 性能

135462
Created On 09/25/18 19:10 PM - Last Modified 10/12/23 10:00 AM


Resolution


概述

防火墙上的会话包括两个流。客户端到服务器和服务器到客户端。可以启用帕洛阿尔托网络防火墙上的 DSRI (禁用服务器响应检查) 功能, 以跳过服务器对客户端流的检查。

详细

通常 DSRI 在内部服务器受防火墙信任和保护的环境中使用。在这些情况下,可以仅客户端到服务器 (互联网用户访问内部服务器) 交通使用 DSRI 选项配置内容检查。通过这样做,服务器向客户端流量 (内部服务器到 internet 客户端) 跳过之后足够数据曾视察过防火墙,以确定通过 HTTP 运行的应用程序。与通信量的完全内容检查相比, 此选项提供了更高的吞吐量, 并且在服务器通信量很大的重载环境中很有用。

使用应用程序重写策略的 DSRI (HTTP NSRI) 可用于在较小大小的数据包环境中提高性能。

注: NSRI 代表无服务器响应检查

这些方法之间的差异有:

  • 仅应用重写策略
    客户端到服务器和服务器到客户端流都从防火墙的内容 (AppID + 威胁) 检查中跳过.
  • DSRI 仅
    当防火墙检查了一定量的数据以识别应用程序时, 才会从检查中跳过服务器到客户端流. 这通常可以在具有高通信量负载的环境中使用, 而对内部受信任的 web 服务器来说, 只需要对 http 请求进行内容检查。
  • DSRI 启用了应用程序重写策略 (选择应用程序 HTTP NSRI)
    客户端到服务器流内容检查, 但从检查中跳过完整的服务器到客户端流, 从而将通信标识为 HTTP NSRI. 这通常可以在具有高流量负载的环境中使用, 而内部受信任的 web 服务器具有较小的包大小, 并且仅需要对 http 请求进行内容检查。

步骤

以下步骤描述如何应用 DSRI 以及应用程序重写策略。

  1. 配置 HTTP NSRI 重写策略。下面显示了一个示例:
    http-nsri_1. jpg
  2. 创建安全策略以允许 HTTP NSRI 应用程序。
    http nsri。jpg
  3. 检查步骤2中创建的安全策略的 "禁用服务器响应检查" 选项。
    http-nsri_2. jpg

通过在 web UI (示例) 的 "对象 > 应用程序" 页上执行搜索, 可以找到 HTTP NSRI 应用程序的详细信息。

http-nsri_3. jpg

所有者︰ sdurga



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClV9CAK&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language