Wildcard(*) anidados en las URL gravemente pueden afectar
Resolution
Detalles
Confirmar mensaje de advertencia
La siguiente advertencia se muestra durante un commit si un bloque o una lista de allow contiene una entrada usando varios comodines:
ADVERTENCIA: Wildcard(*) anidados en las URL gravemente pueden afectar el rendimiento.
Se recomienda usar un solo comodín para cubrir múltiples tokens o un caret(^) a un token único.
Motivo del mensaje de advertencia
El carácter asterisco (*) se utiliza como un símbolo de comodín en el nombre de dominio completo y la ruta para el filtrado de URL personalizadas. El firewall de Palo Alto Networks acepta múltiples símbolos de comodín en el campo (ex. *. *. dominio.com) y las procesa adecuadamente.
Sin embargo, a medida que aumenta el número de tokens comodín, la carga en la CPU del sistema aumenta exponencialmente (por ejemplo, *. *. *. domain.com, o Just *. *. domain.com). Por lo tanto, recomendamos evitar el asterisco anidado (*) para uso práctico.
A continuación se muestra el uso de comodín y su ejemplo
| Carácter comodín | Uso de | Ejemplo |
| asterisco "*" | coincidir con uno o más subdominios | El comodín asterisco (*) no respeta el período (.) como delimitador y continuará como comodín hasta que se empareje un subdominio, dominio o dominio de nivel superior.
Sub1. *. *. com coincidirá con Sub1.sub2.sub3.com y *. *. sub3.com coincidirá con Sub1.sub2.sub3.com. Sin embargo, esto debe evitarse como una práctica recomendada, ya que los asteriscos anidados pueden crear un impacto en el rendimiento del dispositivo.
En su lugar, como una mejor práctica puede utilizar: Sub1. *. com o *. sub3.com. Esto coincidirá con Sub1.sub2.sub3.com
|
| "^" Caret | coincidir con un solo subdominios. | El comodín de Caret (^) respeta el período (.) como un delimliter y dejará de coincidir como un comodín una vez que se haya producido una coincidencia.
Sub1. ^. ^. com y ^. ^. sub3.com son capaces de coincidir con Sub1.sub2.sub3.com
Por lo tanto, ^. sub3.com y Sub1. ^. com no son capaces de coincidir con Sub1.sub2.sub3.com, ya que "^" el cuidado sólo coincide con un subdominio.
Si desea reemplazar "*" por "^", se requieren los siguientes reemplazos:
x. *. net está parcialmente cubierto por lo siguiente: x. ^ .net x. ^. ^ .net x. ^. ^. ^ .net (continúa...)
Los cuidados anidados tienen un límite práctico de 9 cuidados para la misma razón de uso de recursos DP. |
Misma limitación de path
Esta limitación se aplica a la coincidencia de patrones en path después del FQDN. (i.e. http://<FQDN>/<path>), aunque no lanzamos el mensaje de advertencia de commit arriba para el path.</path> </FQDN>
El límite práctico para el asterisco anidado en la ruta es 2. Pero recomendamos encarecidamente utilizar el número mínimo de asterisco para una mejor utilización del DP (carga de la CPU/uso de memoria).
Nota lateral:
Actualmente tenemos limitación de que Asterisk y Caret no deben usarse en la misma configuración. Como se mencionó anteriormente, no se puede reemplazar completamente el preparador con asterisco. Por lo tanto el reemplazo de asteriscos anidados a un solo asterisco se considera la mejor solución para la mayoría de los clientes prácticamente.
"2" para el asterisco anidado en la trayectoria y "9" para el cuidado anidado son el número práctico que sugerimos. Por favor considere utilizar el número más bajo posible para una mejor carga DP (i.e. plataforma inferior).