¿Se puede realizar ONLY la inspección de contenido en software o Hardware en PA-3000 firewalls de serie?

¿Se puede realizar ONLY la inspección de contenido en software o Hardware en PA-3000 firewalls de serie?

26052
Created On 04/30/19 13:13 PM - Last Modified 03/02/23 03:37 AM


Environment


  • PAN-OS hasta 9.0
  • PA-3000 cortafuegos de la serie

Answer


PAN-OS utiliza los siguientes algoritmos para la inspección de contenido y aplicaciones:

AHO: Patrón/firma que coincide con el algoritmo para identificar amenazas y para DLP el procesamiento (Prevención de pérdida de datos).
DFA: Patrón/firma que coincide con el algoritmo para identificar aplicaciones.
PSCAN: Patrón/firma que coincide con el algoritmo para identificar amenazas. PSCAN está diseñado para reemplazar AHO.

Nota:
  • El siguiente documento se aplica a PA los firewalls de la serie 3000 que ejecutan versiones 9.0 y anteriores.
  • A partir de 9.1 AHO y DFA ambos se realizan en el software de forma predeterminada.
  • Este cambio se realizó por razones de diseño interno y no se recomienda cambiar AHO a a hardware menos que se TAClo indique .


– En la plataforma de la PA-3000 serie, DFA y se realizan en el software mientras AHO se hace en el y PSCAN se puede forzar a realizar en el hardware software.
– El comportamiento de AHO, que se realiza por defecto en (), reduce la carga en hardware el dataplane (FPGAsoftware). Sin embargo, en los casos en que los problemas sospechosos deben aislarse del (), el procesamiento puede ser forzado al plano de hardware datos (FPGAsoftware).

El siguiente es el estado predeterminado en el que AHO se está descargando (hardware): 
> debug dataplane fpga state 

aho offload setup
        Use offload
        Minimum Threshold for using offload: 32 bytes
        Maximum Threshold for using offload: 9900 bytes
        Max. outstanding request to offloading: 500
        Current outstanding request to offloading: 0
        bitmask in offload 0x10000(cur idx 1)
        DLP is available in offload
        DLP is in offload

dfa offload setup
        HFA offload only (no sw DFA)
        Minimum Threshold for using offload: 0 bytes
        Maximum Threshold for using offload: 0 bytes
        Max. outstanding request to offloading: 3500
        Current outstanding request to offloading: 0
        hfa graphs downloaded to HTE:


<SNIP>

Para forzar AHO el software:
> debug dataplane fpga set sw_aho yes
  
> debug dataplane fpga state

aho offload setup
        Use software only 
       
dfa offload setup
        HFA offload only (no sw DFA)
        Minimum Threshold for using offload: 0 bytes
        Maximum Threshold for using offload: 0 bytes
        Max. outstanding request to offloading: 3500
        Current outstanding request to offloading: 0

<SNIP>

La aplicación AHO de software puede aumentar el plano CPUde datos. Tras una observación cuidadosa, esto puede conservarse o revertirse:
> debug dataplane fpga set sw_aho no
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PLsRCAW&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language