アプリケーション オーバーライドなしでSMBやFTPなどのプロトコルのパフォーマンスを向上する方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Improve Performance for Protocols like SMB and FTP Without Application Override

https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Improve-Performance-for-Protocols-li...

 

 

概要

SMBやFTP ファイル転送は多量の双方向トラフィックを生成します。SMBはほとんどすべてのデータ パケットの生成毎に、応答パケットを生成し、それゆえにやりとりが多くなります。Palo Alto Networksファイアウォールは、デフォルトでクライアント→サーバー方向(C2S)とサーバー→クライアント方向(S2C)の双方向を検査をします。これによりファイアウォールを通過するSMBやFTPファイル転送は遅くなりがちです。

 

トラフィックのパフォーマンスを向上する方法の一つとして、レイヤー7の検査とアプリケーション識別を行わないようにする、アプリケーション オーバーライドを使用する方法があります。

 

もしレイヤー7の検査が必要、かつパフォーマンス向上が必要な場合は、関連のトラフィックが該当するセキュリティ ポリシーにて'サーバー レスポンス検査の無効化(DSRI)'オプションをチェックする方法があります。これは該当のサーバーが信用できる場合にのみチェックされるべきです。'サーバー レスポンス検査の無効化(DSRI)'がチェックされると、ファイアウォールはC2Sのトラフィックのみ検査し、転送レートが向上します。

 

詳細

'サーバー レスポンス検査の無効化(DSRI)'を有効にするには、WebUIにてPolicies > セキュリティ > アクションに移動する必要があります。

 

ポリシーが作成されると、'サーバー レスポンス検査の無効化(DSRI)'オプションがチェックされたことを示すアイコンがセキュリティ ルール上に表示されます。

 

著者: kadak