详细
提交警告消息
如果块或允许列表包含使用多个通配符的项, 则在提交过程中会显示以下警告:
警告: 在 Url 中的嵌套的 wildcard(*) 可能会严重影响性能。
它被建议使用一个通配符来涵盖多个令牌或 caret(^) 针对单个标记。
警告消息的原因
星号 (*) 字符用作自定义 URL 筛选的通配符令牌中的 FQDN 和路径。帕洛阿尔托网络防火墙可接受多个通配符标记领域 (ex。*.*。domain.com),并适当地处理。
但是, 随着通配符数量的增加, 系统 CPU 上的负载将成倍增加 (例如, *. domain.com, 或者只是 *. domain.com)。因此, 我们建议避免嵌套星号 (*) 用于实际使用。
下面是通配符用法及其示例
| 通配符 | 使用情况 | 示例 |
| "*" 星号 | 与一个或多个子域匹配 | 星号 (*) 通配符不将句点 (.) 视为分隔符, 并将继续作为通配符, 直到子域、域或顶级域匹配为止。
sub1 将匹配 sub1.sub2.sub3.com 和 *. sub3.com 将匹配 sub1.sub2.sub3.com。 但是, 应避免将此作为最佳做法, 因为嵌套星号可能会对设备产生性能影响。
相反, 作为最佳实践, 您可以使用: sub1 或 sub3.com。 这将匹配 sub1.sub2.sub3.com
|
| "^" 插入符号 | 仅与一个子域匹配。 | 插入符号 (^) 通配符会将句点 (.) 视为 delimliter, 并在匹配发生后停止匹配为通配符。
sub1. com
和
^. sub3. com
能够与sub1.sub2.sub3.com 匹配
因此, ^. com和sub1无法与sub1.sub2.sub3.com 匹配,因为 "^" 插入符号只与一个子域匹配.
如果您想用 "^" 替换 "*", 则需要以下替换项:
x. net 的俩包括以下内容:
x. net
^. net
x. ^. net
(续...)
对于上述 DP 资源使用原因, 嵌套插入符号的实际限制为9插入符号。
|
路径的相同限制
此限制适用于 FQDN 后路径上的模式匹配。(即 http://<FQDN><path>), 虽然我们不抛出上面的提交警告消息的路径.</path> </FQDN>
路径中嵌套星号的实际限制为2。但是, 我们强烈建议使用最小的星号数以提高 DP 利用率 (CPU 负载/内存使用率)。
便笺:
目前, 我们限制了星号和插入符号不应在同一配置中使用。如上所述, 不能用星号完全替换插入符号。 因此, 将嵌套星号替换为单个星号, 实际上是大多数客户的最佳解决方案。
在路径中嵌套星号 "2" 和嵌套插入符号的 "9" 是我们建议的实用数。请考虑尽可能使用最低的数字, 以更好的 DP 负载 (即较低的平台)。