内容检查能否执行ONLY在软件或Hardware在PA-3000系列防火墙?
30955
Created On 04/30/19 13:13 PM - Last Modified 03/02/23 03:37 AM
Environment
- PAN-OS 高达 9.0
- PA-3000 系列防火墙
Answer
PAN-OS 使用以下算法进行内容和应用程序检查:
AHO :模式/签名与识别威胁的算法相匹配DLP(数据丢失防护)处理。
DFA : 与识别应用程序的算法相匹配的模式/签名。
PSCAN : 与识别威胁的算法相匹配的模式/签名。 PSCAN 旨在取代AHO.
笔记 :
|
– 在PA-3000系列平台,DFA和PSCAN在软件中完成,同时AHO是在hardware并且可以强制在软件上执行。
– 的行为AHO,默认情况下完成hardware(FPGA ), 减少数据平面(软件)上的负载。 但是,如果需要将可疑问题与hardware(FPGA ),可以将处理强制到数据平面(软件)。
以下是默认状态,其中AHO正在卸载(hardware ):
> debug dataplane fpga state aho offload setup Use offload Minimum Threshold for using offload: 32 bytes Maximum Threshold for using offload: 9900 bytes Max. outstanding request to offloading: 500 Current outstanding request to offloading: 0 bitmask in offload 0x10000(cur idx 1) DLP is available in offload DLP is in offload dfa offload setup HFA offload only (no sw DFA) Minimum Threshold for using offload: 0 bytes Maximum Threshold for using offload: 0 bytes Max. outstanding request to offloading: 3500 Current outstanding request to offloading: 0 hfa graphs downloaded to HTE: <SNIP>
强迫AHO在软件中:
> debug dataplane fpga set sw_aho yes > debug dataplane fpga state aho offload setup Use software only dfa offload setup HFA offload only (no sw DFA) Minimum Threshold for using offload: 0 bytes Maximum Threshold for using offload: 0 bytes Max. outstanding request to offloading: 3500 Current outstanding request to offloading: 0 <SNIP>
执行AHO软件可能会增加数据平面CPU. 经过仔细观察,这可能会被保留或恢复:
> debug dataplane fpga set sw_aho no