App-IDs für SSL-gesicherten Versionen bekannte Dienste

Details

Viele bekannte Dienste wie LDAP, IMAP, POP3, SMTP und FTP haben eine SSL-gesicherte Version zur Verfügung, die auf einen alternativen Port SSL-Variante läuft, die anders als ihre standard-Port ist. In all diesen Fällen ist der Verkehr von App-ID auf der Palo Alto Networks Firewall als "Ssl" Anwendung identifiziert.

Es gibt ein paar verschiedene Ansätze zur Erstellung einer Sicherheitsrichtlinie für diese Dienste ermöglichen. Einige davon werden im folgenden erörtert:

1. Verwenden Sie StartTLS, die durch diese Protokolle unterstützt wird. Siehe http://en.wikipedia.org/wiki/STARTTLS. In diesem Fall werden sie als die App-ID entspricht dem Protokoll (Ldap, Imap, pop3, etc.) anstelle von als "Ssl" identifiziert werden und sie verwenden den standard-Port für das Protokoll, anstatt den SSL-Variante-Port.
2. Service-Objekte für die SSL-Variante-Ports zu erstellen, und "Ssl" App-ID in Sicherheit Politik auf diese Dienste ermöglichen: SMTPS:TCP / 465; IMAPS:TCP / 993; POP3S:995; FTPS: TCP/990.
3. Erstellen Sie benutzerdefinierte Anwendungen basierend auf Ihrem Server-Zertifikat. Siehe Beispiel dafür auf DevCenter: kundenSpezifische Anwendung für SSL-basierte Traffic
4. Aktivieren-Entschlüsselung, und diese werden als die entsprechenden App-ID identifiziert werden: smtp, pop3, Imap, etc..

Siehe auch

Gewusst wie: Implementieren von SSL-Entschlüsselung

Besitzer: Savasarala