詳細
A パロアルトネットワークスが受信したパケット firewall は、マッチングセッションの状態に応じて処理されます。 このドキュメントでは、パケットのパケット Offloaded、高速パス遅いパスの処理の違いについて説明します。
このドキュメントでは、 hardware パロアルトネットワークスアプライアンスのほとんどで一般的に使用されるコンポーネントについても説明します。
MAC 物理チップ
物理層接続 SFP (、イーサネット ポート) を処理し、イーサネット フレームを実行します。
フローエンジン
フロールックアップを実行し、ルックアップ結果に基づいてデータプレーンに転送する可能性があります(フローが見つからないか、フローが見つかりましたが、Layer7 は有効です)。
データ プレーン ・
L4 L7 セキュリティ処理を処理するマルチコア プロセッサ。
遅いパス
注: このドキュメントの図の番号付き四角形は、同じセッションの着信パケット(パケットごとに 1 つの正方形)を表します。
非常に最初のパケットを受信すると、セッションがまだ作成されません。
このパケットは、データ プレーン ・で行われるユニークな操作のセットを持っているので遅いパスで考えられます。
- FIB出力ゾーンを取得するために使用するフォワーディングルックアップ
- NAT Policy ルックアップ + 2 番目の転送ルックアップ DNAT (適用されている場合)
- 最初 policy のセキュリティルックアップ ('any' アプリケーションで構成されたサービス ポートとルールを照合する)
- パケットは破棄されますか、新しいセッションが作成/インストール データ プレーン ・。
高速パス
同じセッションの次のパケットは、高速パスで考慮されます。
遅いパスの操作は、出力インターフェイスにパケットを転送する前にパケットごとに行っている検索を転送を除いて、もはや達成する必要はありません。
転送遅いパスで参照は、ポリシー参照に必要な出口ゾーンを取得することです。
オフロード
App- ID およびコンテンツインスペクションが完全に完了すると、セッションとその後のパケットをフローエンジンに完全にオフロードできます。 入力パケットはデータプレーンに到達しなくなり、フロー エンジンはパケット転送を完全に管理します。 この操作は、データ プレーン ・のコアの負荷を軽減します。
注: セッションがオフロードされていない場合でも、すべてのパケットが常にフロー エンジンを通過することを理解することが重要です。 セッションをオフロード用決定アルゴリズムは、この記事の範囲を超えています。
オフロードされないセッションの条件 hardware
アクティブなセッションをフローエンジンでオフロードして、CPU の負荷を軽減できます。
既定では、すべてのセッションは、オフロードの対象となるが、これを回避いくつかの条件もあります。
A アプリケーションが認識されない ( APP-ID 完了していない) セッションは、オフロードできません。
A コンテンツ検査がまだ終了していないセッションは、オフロードできません。
この条件は次のとおりです。
- セキュリティ プロファイルが適用された脅威をスキャンしているセッション
- 可能性のある他のアプリケーションをトンネルを別のものに変更することができます、アプリケーションを実行中のセッション
また、処理されるトラフィックの種類は決 CPU してありません。
- ARP (およびその他の非 IP トラフィックすべて)
- Ipsec
- 復号化されたセッション
- VPN セッション
- 非/ TCP UDP (パススルー/など一部のプロトコルを除 GRE IPSEC く)
- Firewall バインドされたセッション
- 間 vsys セッション
- PBF 次ホップなしのセッション
- NAT64
所有者: nbilly