コンテンツ インスペクションは実行できますかONLYソフトウェアまたはHardwareの上PA-3000シリーズ ファイアウォール?
30953
Created On 04/30/19 13:13 PM - Last Modified 03/02/23 03:37 AM
Environment
- PAN-OS 9.0まで
- PA-3000 シリーズ ファイアウォール
Answer
PAN-OS は、コンテンツとアプリケーションの検査に次のアルゴリズムを使用します。
AHO : 脅威を識別し、アルゴリズムに一致するパターン/シグネチャDLP(データ損失防止) 処理。
DFA : アプリケーションを識別するためのアルゴリズムに一致するパターン/署名。
PSCAN : 脅威を識別するためのアルゴリズムに一致するパターン/シグネチャ。 PSCAN 交換するように設計されていますAHO.
ノート :
|
– 上にPA-3000シリーズプラットフォーム、DFAとPSCANその間、ソフトウェアで行われますAHOで行われますhardwareソフトウェアで強制的に実行することができます。
– の振る舞いAHO、これはデフォルトで行われますhardware(FPGA )、データプレーン(ソフトウェア)の負荷を軽減します。 ただし、疑わしい問題を特定する必要がある場合は、hardware (FPGA )、データプレーン(ソフトウェア)に処理を強制できます。
以下はデフォルトの状態です。AHOオフロードされています (hardware ):
> debug dataplane fpga state aho offload setup Use offload Minimum Threshold for using offload: 32 bytes Maximum Threshold for using offload: 9900 bytes Max. outstanding request to offloading: 500 Current outstanding request to offloading: 0 bitmask in offload 0x10000(cur idx 1) DLP is available in offload DLP is in offload dfa offload setup HFA offload only (no sw DFA) Minimum Threshold for using offload: 0 bytes Maximum Threshold for using offload: 0 bytes Max. outstanding request to offloading: 3500 Current outstanding request to offloading: 0 hfa graphs downloaded to HTE: <SNIP>
力にAHOソフトウェアで:
> debug dataplane fpga set sw_aho yes > debug dataplane fpga state aho offload setup Use software only dfa offload setup HFA offload only (no sw DFA) Minimum Threshold for using offload: 0 bytes Maximum Threshold for using offload: 0 bytes Max. outstanding request to offloading: 3500 Current outstanding request to offloading: 0 <SNIP>
強制するAHOソフトウェアにデータプレーンを増やす可能性がありますCPU. 注意深い観察により、これは保持または元に戻すことができます。
> debug dataplane fpga set sw_aho no