App-IDs für SSL-gesicherten Versionen bekannte Dienste
87697
Created On 09/25/18 17:41 PM - Last Modified 06/08/23 07:02 AM
Resolution
Details
Viele bekannte Dienste wie LDAP, IMAP, POP3, SMTP und FTP haben eine SSL-gesicherte Version zur Verfügung, die auf einen alternativen Port SSL-Variante läuft, die anders als ihre standard-Port ist. In all diesen Fällen ist der Verkehr von App-ID auf der Palo Alto Networks Firewall als "Ssl" Anwendung identifiziert.
Es gibt ein paar verschiedene Ansätze zur Erstellung einer Sicherheitsrichtlinie für diese Dienste ermöglichen. Einige davon werden im folgenden erörtert:
- Verwenden Sie StartTLS, die durch diese Protokolle unterstützt wird. Siehe http://en.wikipedia.org/wiki/STARTTLS. In diesem Fall werden sie als die App-ID entspricht dem Protokoll (Ldap, Imap, pop3, etc.) anstelle von als "Ssl" identifiziert werden und sie verwenden den standard-Port für das Protokoll, anstatt den SSL-Variante-Port.
- Service-Objekte für die SSL-Variante-Ports zu erstellen, und "Ssl" App-ID in Sicherheit Politik auf diese Dienste ermöglichen: SMTPS:TCP / 465; IMAPS:TCP / 993; POP3S:995; FTPS: TCP/990.
- Erstellen Sie benutzerdefinierte Anwendungen basierend auf Ihrem Server-Zertifikat. Siehe Beispiel dafür auf DevCenter: kundenSpezifische Anwendung für SSL-basierte Traffic
- Aktivieren-Entschlüsselung, und diese werden als die entsprechenden App-ID identifiziert werden: smtp, pop3, Imap, etc..
Siehe auch
Gewusst wie: Implementieren von SSL-Entschlüsselung
Besitzer: Savasarala