如何配置解密镜像端口

如何配置解密镜像端口

49535
Created On 09/25/18 17:30 PM - Last Modified 03/11/24 13:47 PM


Resolution


概述

PAN OS 6.0 引入了一个功能来创建解密通信的副本, 并将其发送到镜像端口, 从而使解密通信的原始数据包捕获能够进行存档和分析。

注:此功能可在帕洛阿尔托网络 PA-3000 系列和 PA-5000 系列设备上使用.

 

步骤

  1. 激活 "解密端口镜像" 许可证。转到设备 > 许可证:
    屏幕截图2013-11-14 在16.53.20.png
  2. 重新启动设备。
  3. 重新启动完成后, 选择一个可用的接口。转到网络 > 接口以用作端口镜像接口:
    屏幕截图2013-11-14 在16.52.39.png
  4. 创建解密配置文件。转到对象 > 解密配置文件。在此配置文件中, 指定解密通信需要发送的接口:
    屏幕截图2013-11-14 在16.56.49.png
  5. 将解密配置文件应用于 SSL 解密策略或策略:
    屏幕截图2013-11-14 在16.57.53.png
  6. 允许转发解密的内容。转到设备 >> 安装程序 > 内容-ID:
    Decrypt_forward
  7. 提交配置。

与 SSL 解密策略匹配的所有通信都将被解密并转发到镜像端口, 这是上面示例中的以太网1/8。

 

多 VSYS 配置

创建新的 VSYS 时, 请选择 "允许转发解密内容" 选项, 如下图所示。其余的配置与单个 VSYS 环境相同。

屏幕截图2014-09-14 在 6.51.05 PM. png

 

验证

安装完成后, 标记为解密的会话将被转发到指定的端口。

通过筛选解密镜像的所有会话, 可以在会话表中验证这一点:

 

>> 显示会话所有筛选器解密-镜像是

 

--------------------------------------------------------------------------------

ID 应用程序状态类型标志 Src [体育] 区/原始 (翻译 IP[Port])

Vsys Dst [Dport] / 区 (翻译 IP[Port])

--------------------------------------------------------------------------------

33557112网络浏览活动流 * NS 10.193.91.111 [55193]/不信任/6 (10.193.88.91 [28832])

vsys1 216.58.209.224 [443]/不信任 (216.58.209.224 [443])

33557161网络浏览活动流 * NS 10.193.91.111 [55241]/不信任/6 (10.193.88.91 [6770])

vsys1 216.58.209.238 [443]/不信任 (216.58.209.238 [443])

33557106网络浏览活动流 * NS 10.193.91.111 [55190]/不信任/6 (10.193.88.91 [1490])

vsys1 216.58.209.230 [443]/不信任 (216.58.209.230 [443])

33557131网络浏览活动流 * NS 10.193.91.111 [55207]/不信任/6 (10.193.88.91 [44665])

vsys1 74.125.71.94 [443]/不信任 (74.125.71.94 [443])

33557084网络浏览活动流 * NS 10.193.91.111 [55170]/不信任/6 (10.193.88.91 [34083])

vsys1 204.79.197.203 [443]/不信任 (204.79.197.203 [443])

33557166网络浏览活动流 * NS 10.193.91.111 [55244]/不信任/6 (10.193.88.91 [50576])

vsys1 216.58.209.226 [443]/不信任 (216.58.209.226 [443])

33557086 facebook-社交-插件活动流 * NS 10.193.91.111 [55172]/不信任/6 (10.193.88.91 [55838])

vsys1 31.13.93.3 [443]/不信任 (31.13.93.3 [443])

33557135 youtube-基地活动流 * NS 10.193.91.111 [55210]/不信任/6 (10.193.88.91 [31302])

vsys1 216.58.209.224 [443]/不信任 (216.58.209.224 [443])

33557118网络浏览活动流 * NS 10.193.91.111 [55195]/不信任/6 (10.193.88.91 [33260])

vsys1 74.125.206.154 [443]/不信任 (74.125.206.154 [443])

33557141网络浏览活动流 * NS 10.193.91.111 [55215]/不信任/6 (10.193.88.91 [50351])

vsys1 216.58.209.224 [443]/不信任 (216.58.209.224 [443])

33557116网络浏览活动流 * NS 10.193.91.111 [55194]/不信任/6 (10.193.88.91 [15099])

vsys1 216.58.209.238 [443]/不信任 (216.58.209.238 [443])

33557127闪光活动流 * NS 10.193.91.111 [55202]/不信任/6 (10.193.88.91 [9829])

vsys1 216.58.209.230 [443]/不信任 (216.58.209.230 [443])

33557091推特基主动流 * NS 10.193.91.111 [55179]/不信任/6 (10.193.88.91 [28557])

vsys1 199.16.157.105 [443]/不信任 (199.16.157.105 [443])

33557143网络浏览活动流 * NS 10.193.91.111 [55216]/不信任/6 (10.193.88.91 [54633])

7316 http-视频活动流 * NS 10.193.91.111 [55238]/不信任/6 (10.193.88.91 [26068])

vsys1 173.194.129.178 [443]/不信任 (173.194.129.178 [443])

7238网络浏览活动流 * NS 10.193.91.111 [55184]/不信任/6 (10.193.88.91 [28250])

vsys1 74.125.195.113 [443]/不信任 (74.125.195.113 [443])

7307网络浏览活动流 * NS 10.193.91.111 [55233]/不信任/6 (10.193.88.91 [44945])

vsys1 74.125.206.154 [443]/不信任 (74.125.206.154 [443])

 

所有者: rvanderveken
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClGDCA0&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language