如何在帕洛阿尔托网络防火墙和用户 ID 代理之间建立安全通信

从 PAN OS 8.0 开始, 我们可以选择在防火墙和用户 ID 代理之间, 在证书的帮助下进行安全通信。

注意:这要求防火墙在 PAN OS 8.0 (或更高版本) 上, 以及用户 ID 代理在 8.0 (或更高版本) 上.

在此过程中, 协会 (用户 ID 代理) 将向防火墙提供证书以进行验证。防火墙将根据配置的证书配置文件检查此证书。如果它通过了证书配置文件中的所有检查, 防火墙将接受来自该协会的连接。这可以确保安全防范 "流氓" UIAs。

下面是一步安装演练, 用于配置以下内容:

1。启动该协会, 您应该会看到一个名为 "服务器证书" 的新选项:

2。我们需要为协会创建一个新的 CSR, 并通过外部 ca、内部 ca 或防火墙中存在的自签名证书来签名。(注意:我们需要在防火墙上存在 CA 证书, 这样我们就可以在证书配置文件中使用它, 并验证该证书).

3。一旦我们有了证书, 我们就可以将它连同私钥一起导入到律师协会。请确保提交配置.

4。创建新的证书配置文件, 并使用用于签署律师协会 CSR 的 CA。

5。您应该在 "设备 >> 用户标识" 下看到一个新选项卡, 称为 "连接安全性":

6。选择在步骤4中创建的证书配置文件。

7。如果提交顺利, 您应该看到该协会成功地与防火墙连接。

失败方案

如果在防火墙上启用了连接安全性的情况下, 在该律师协会上存在不正确或没有证书, 您将在系统 (和用户 id) 日志中看到以下日志项:

对于相同的故障, 在代理上, 您将看到以下日志 (监视->> 日志):

希望这有帮助。保持安全!