Kann die Inhaltsprüfung in Software oder Hardware auf PA-3000 Series Firewalls durchgeführt ONLY werden?

Kann die Inhaltsprüfung in Software oder Hardware auf PA-3000 Series Firewalls durchgeführt ONLY werden?

26056
Created On 04/30/19 13:13 PM - Last Modified 03/02/23 03:37 AM


Environment


  • PAN-OS bis zu 9.0
  • PA-3000 Firewalls der Serie

Answer


PAN-OS verwendet die folgenden Algorithmen für die Inhalts- und Anwendungsprüfung:: Muster/Signatur, die dem Algorithmus zur Identifizierung von Bedrohungen und zur DLP Verarbeitung (Data Loss Prevention) entspricht.
DFA:

AHO Muster/Signatur, die dem Algorithmus zur Identifizierung von Anwendungen entspricht.
PSCAN: Muster/Signatur, die dem Algorithmus zur Identifizierung von Bedrohungen entspricht. PSCAN wurde entwickelt, um .AHO

Anmerkung:
  • Das folgende Dokument gilt für PA Firewalls der Serie 3000 mit Version 9.0 und niedriger.
  • Ab 9.1 AHO und DFA beide werden standardmäßig auf Software ausgeführt.
  • Diese Änderung wurde aus internen Entwurfsgründen vorgenommen und es wird nicht empfohlen, sie zu hardware ändernAHO, es sei denn, dies wird von TACangewiesen.


– Auf der Serienplattform und PSCAN werden in der Software durchgeführt, während AHO auf der PA-3000 und kann gezwungen werden, DFA auf Software hardware ausgeführt zu werden.
– Das Verhalten von AHO, das standardmäßig in hardware () ausgeführt wird, reduziert die Last auf der Datenebene (FPGASoftware). In Fällen, in denen vermutete Probleme von der hardware () isoliert werden müssen, kann die Verarbeitung jedoch auf die Datenebene (FPGASoftware) erzwungen werden.

Im Folgenden finden Sie den Standardzustand, in dem AHO ausgelagert wird (hardware): 
> debug dataplane fpga state 

aho offload setup
        Use offload
        Minimum Threshold for using offload: 32 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 500
        Current outstanding request to offloading: 0
        bitmask in offload 0x10000(cur idx 1)
        DLP is available in offload
        DLP is in offload

dfa offload setup
        HFA offload only (no sw DFA)
        Minimum Threshold for using offload: 0 bytes
        Maximum Threshold for using offload: 0 bytes
        Max. outstanding request to offloading: 3500
        Current outstanding request to offloading: 0
        hfa graphs downloaded to HTE:


<SNIP>

So erzwingen Sie AHO Software:
> debug dataplane fpga set sw_aho yes
  
> debug dataplane fpga state

aho offload setup
        Use software only 
       
dfa offload setup
        HFA offload only (no sw DFA)
        Minimum Threshold for using offload: 0 bytes
        Maximum Threshold for using offload: 0 bytes
        Max. outstanding request to offloading: 3500
        Current outstanding request to offloading: 0

<SNIP>

Das Erzwingen AHO von Software kann die Datenebene CPUerhöhen. Bei sorgfältiger Beobachtung kann dies beibehalten oder rückgängig gemacht werden:
> debug dataplane fpga set sw_aho no
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLsRCAW&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language