Verschachtelte Wildcard(*) in URLs kann die Leistung stark beeinträchtigen.
Resolution
Details
Warnmeldung
Die folgende Warnung zeigt während einer Übergabe an, ob eine Block-oder Allow-Liste einen Eintrag mit mehreren Wildcards enthält:
Warnung: Verschachtelte wildcard(*) in URLs kann die Leistung stark beeinträchtigen.
Es wird empfohlen, einen einzelnen Platzhalter verwenden, um mehrere Token oder ein caret(^), ein einzelnes Token Zielen zu decken.
Grund der Warnmeldung
Das Sternchen (*) dient als Platzhalter Zeichen in den FQDN und den Pfad für benutzerdefinierte URL-Filterung. Palo Alto Networks Firewall akzeptiert mehrere Platzhalter-Token im Feld (z. b. *. *. domain.com) und entsprechend verarbeitet.
Da jedoch die Anzahl der Wildcard-Token zunimmt, erhöht sich die Belastung der System-CPU exponentiell (zum Beispiel *. *. *. Domain.com, oder einfach *. *. Domain.com). Daher empfehlen wir, verschachtelte Sternchen (*) für den praktischen Gebrauch zu vermeiden.
Im folgenden ist die Wildcard-Nutzung und Ihr Beispiel
| Platzhalterzeichen | Verwendung | Beispiel |
| "*" Sternchen | mit einer oder mehrere Subdomains übereinstimmen | Die asterisk (*) Wildcard respektiert den Zeitraum (.) nicht als Begrenzer und wird als Wildcard fortgesetzt, bis eine Subdomain, Domäne oder Top-Level-Domain aufeinander abgestimmt ist.
Sub1. *. *. com wird Sub1.sub2.sub3.com und *. *. sub3.com mit sub1.sub2.sub3.com übereinstimmen. Dies sollte jedoch als Best Practice vermieden werden, da verschachtelte Sternchen einen Leistungs Effekt auf das Gerät erzeugen können.
Stattdessen können Sie als Best Practice verwenden: sub1. *. com oder *. sub3.com. Das passt sub1.sub2.sub3.com
|
| "^" Caret | mit nur einem Subdomains übereinstimmen. | Die Caret (^) Wildcard respektiert den Zeitraum (.) als delimliter und stoppt das Matching als Wildcard, sobald ein Match aufgetreten ist.
Sub1. ^. ^. com und ^. ^. sub3.com mit sub1.sub2.sub3.com mithalten können
Daher sind ^. sub3.com und sub1. ^. com nicht in der Lage, mit sub1.sub2.sub3.com übereinzustimmen, da "^" Caret nur mit einer Subdomain übereinstimmt.
Wenn Sie "*" durch "^" ersetzen möchten, sind folgende Ersatzteile erforderlich:
x. *. net wird durch Folgendes abgedeckt: x. ^ .net x. ^. ^ .net x. ^. ^. ^ .net (Fortsetzung...)
Verschachtelte Carets haben ein praktisches Limit von 9 Carets für den gleichen Grund, warum der DP-Ressourcenverbrauch oben liegt. |
Gleiche Einschränkung für den Weg
Diese Einschränkung wird auf die musteranpassung auf dem Pfad nach FQDN angewendet. (d.h. http://<FQDN>/<path>), obwohl wir die Commit-Warnmeldung nicht oben auf den Pfad werfen.</path> </FQDN>
Praktisches Limit für verschachtelte Sternchen im Pfad ist 2. Aber wir empfehlen dringend, die minimalen-Anzahl von Sternchen für eine bessere DP-Auslastung (CPU-Last/Speicherverbrauch) zu verwenden.
Side Note:
Derzeit haben wir die Einschränkung, dass Asterisk und Caret nicht in der gleichen Konfiguration verwendet werden sollten. Wie bereits erwähnt, kann Caret nicht vollständig durch Sternchen ersetzt werden. Daher wird die Ersetzung von verschachtelten Sternchen zu einzelnen Sternchen für die meisten Kunden praktisch als beste Lösung angesehen.
"2" für verschachtelte Sternchen im Pfad und "9" für verschachtelte Caret sind praktische Zahl, die wir vorschlagen. Bitte beachten Sie, dass die niedrigste Anzahl für eine bessere DP-Belastung (d.h. niedrigere Plattform) wie möglich verwendet wird.