Url 内の入れ子になった Wildcard(*) がパフォーマンスに大きく影響します。
108461
Created On 09/26/18 13:51 PM - Last Modified 06/12/23 16:37 PM
Resolution
詳細
コミット警告メッセージ
ブロックまたは許可リストに複数のワイルドカードを使用してエントリが含まれている場合、コミット中に次の警告が表示されます。
警告: Url でネストされた wildcard(*) 深刻なパフォーマンスに影響可能性があります。
複数のトークンまたは単一のトークンを対象に caret(^) をカバーする単一のワイルドカードを使用することをお勧めします。
警告メッセージの理由
アスタリスク (*) 文字は、カスタムの URL フィルタ リング、FQDN とパス内のワイルドカード トークンとして使用されます。パロ ・ アルトのネットワーク ファイアウォール (ex フィールドで複数のワイルドカード トークンを受け入れる. *. *. domain.com) し、それらを適切に処理します。
ただし、ワイルドカードトークンの数が増えると、システム CPU への負荷が急激に増加します (たとえば、*.*、domain.com、または *.* domain.com)。したがって、実際の使用にはアスタリスク (*) がネストされないようにすることをお勧めします。
以下は、ワイルドカードの使用法とその例です
ワイルドカード文字 | 使用率 | 例 |
"*" アスタリスク | 1つまたは複数のサブドメインとの一致 | アスタリスク (*) ワイルドカードはピリオド (.) を区切り記号として尊重せず、サブドメイン、ドメイン、またはトップレベルのドメインが一致するまでワイルドカードとして継続します。
sub1 * .com は sub1.sub2.sub3.com と *. * と一致し、sub3.com は sub1.sub2.sub3.com と一致します。 ただし、入れ子になったアスタリスクがデバイスに対するパフォーマンスへの影響を与える可能性があるため、これはベストプラクティスとして回避する必要があります。
代わりに、ベストプラクティスとして、sub1 または * sub3.com を使用できます。 これは sub1.sub2.sub3.com と一致します。
|
"^" キャレット | 1つのサブドメインのみと一致します。 | キャレット (^) ワイルドカードはピリオド (.) を delimliter として尊重し、一致が発生すると、ワイルドカードとしての一致を停止します。
sub1. ^. ^ .com
そして
^. ^. sub3.com
sub1.sub2.sub3.com と一致することができます
したがって、^ sub3.comとsub1は、 "^" キャレットが1つのサブドメインにのみ一致するため 、sub1.sub2.sub3.comと一致することはできません 。
"*" を "^" に置き換えたい場合は、次のような置換が必要です。
x. *. netは、次の partically によってカバーされます。
x. ^ .net
x. ^. ^ .net
x. ^. ^. ^ .net
(続きですが...)
ネストされたキャレットは、上記と同じ DP リソースの使用理由で9キャレットの実用的な制限を持っています。
|
パスの同じ制限
この制限は、FQDN の後のパスに一致するパターンに適用されます。(すなわち http://<FQDN>/<path>)、我々はパスの上にコミット警告メッセージをスローしませんが。</path> </FQDN>
path のネストされたアスタリスクの実用的な制限は2です。しかし、我々は非常に優れた DP の使用率 (CPU 負荷/メモリ使用量) のためにアスタリスクの最小番号を使用することをお勧めします。
サイドノート:
現在のところ、アスタリスクとキャレットは同じ構成では使用できないという制限があります。前述のように、キャレットをアスタリスクで完全に置き換えることはできません。 したがって、単一のアスタリスクにネストされたアスタリスクを置き換えると、実質的に顧客のほとんどのための最良のソリューションと見なされます。
"2" のパスとネストされたキャレットの "9" の入れ子になったアスタリスクの実用的な番号をお勧めします。よりよい DP 負荷 (すなわち低いプラットホーム) のために可能ように最低の数を使用するために考慮しなさい。