Comment améliorer les performances pour les protocoles comme SMB et FTP sans application override

Vue d’ensemble

Les transferts de fichiers SMB et FTP génèrent une grande quantité de trafic bidirectionnel. SMB génère un paquet de réponses pour presque tous les paquets de données générés, et est donc très bavard. Un pare-feu de Palo Alto Networks, par défaut, examinera le trafic dans les deux directions de client à serveur (C2S) et de serveur à client (S2C). Pour ces raisons, les transferts de fichiers SMB et FTP via le pare-feu peuvent être lents.

L'une des façons d'améliorer les performances de ce trafic consiste à utiliser la substitution d'application pour exclure l'inspection de la couche 7 et l'identification des applications.

Si l'inspection de la couche 7 est nécessaire et que les performances doivent encore être améliorées, cochez l'option'désactiver l'inspection de réponse du serveur (DSRI) 'sur la stratégie de sécurité à laquelle le trafic concerné frappe. Cette option ne doit être activée que si le serveur est approuvé. Lorsque la case de DSRI est cochée, le pare-feu inspectera uniquement le trafic de C2S et le taux de transfert de fichiers augmentera.

Détails

Pour activer DSRI, accédez à stratégies > Security > actions sur l'interface IU :

Une fois la stratégie créée, une icône indique que l'option DSRI est cochée pour cette règle de sécurité.

propriétaire : anissa