利用 DSRI 提高 HTTP 性能
135462
Created On 09/25/18 19:10 PM - Last Modified 10/12/23 10:00 AM
Resolution
概述
防火墙上的会话包括两个流。客户端到服务器和服务器到客户端。可以启用帕洛阿尔托网络防火墙上的 DSRI (禁用服务器响应检查) 功能, 以跳过服务器对客户端流的检查。
详细
通常 DSRI 在内部服务器受防火墙信任和保护的环境中使用。在这些情况下,可以仅客户端到服务器 (互联网用户访问内部服务器) 交通使用 DSRI 选项配置内容检查。通过这样做,服务器向客户端流量 (内部服务器到 internet 客户端) 跳过之后足够数据曾视察过防火墙,以确定通过 HTTP 运行的应用程序。与通信量的完全内容检查相比, 此选项提供了更高的吞吐量, 并且在服务器通信量很大的重载环境中很有用。
使用应用程序重写策略的 DSRI (HTTP NSRI) 可用于在较小大小的数据包环境中提高性能。
注: NSRI 代表无服务器响应检查
这些方法之间的差异有:
- 仅应用重写策略
客户端到服务器和服务器到客户端流都从防火墙的内容 (AppID + 威胁) 检查中跳过. - DSRI 仅
当防火墙检查了一定量的数据以识别应用程序时, 才会从检查中跳过服务器到客户端流. 这通常可以在具有高通信量负载的环境中使用, 而对内部受信任的 web 服务器来说, 只需要对 http 请求进行内容检查。 - DSRI 启用了应用程序重写策略 (选择应用程序 HTTP NSRI)
客户端到服务器流内容检查, 但从检查中跳过完整的服务器到客户端流, 从而将通信标识为 HTTP NSRI. 这通常可以在具有高流量负载的环境中使用, 而内部受信任的 web 服务器具有较小的包大小, 并且仅需要对 http 请求进行内容检查。
步骤
以下步骤描述如何应用 DSRI 以及应用程序重写策略。
- 配置 HTTP NSRI 重写策略。下面显示了一个示例:
- 创建安全策略以允许 HTTP NSRI 应用程序。
- 检查步骤2中创建的安全策略的 "禁用服务器响应检查" 选项。
通过在 web UI (示例) 的 "对象 > 应用程序" 页上执行搜索, 可以找到 HTTP NSRI 应用程序的详细信息。
所有者︰ sdurga