Wie man SSH-Entschlüsselung auf einem Palo Alto Networks-Gerät implementiert
Resolution
Übersicht
PAN-OS kann ein-und ausgehende SSH-Verbindungen, die durch die Firewall gehen, entschlüsseln und inspizieren. Für die SSH-Entschlüsselung ist kein Zertifikat erforderlich. Der Schlüssel, der für die Entschlüsselung verwendet wird, wird automatisch generiert, wenn die Firewall startet. Während des bootup-Prozesses prüft die Firewall, ob ein vorhandener Schlüssel vorhanden ist. Wenn nicht, wird ein Schlüssel generiert. Dieser Schlüssel ist für die Entschlüsselung von SSH-Sessions für alle auf dem Gerät konfigurierten VSYS. Der gleiche Schlüssel wird für die Entschlüsselung aller SSH v2-Sitzungen verwendet.
Schritte
- Gehen Sie zu Policies > Entschlüsselung auf dem Web-UI.
- Erstellen Sie eine Entschlüsselungs Regel und geben Sie die Zonen an, in denen die SSH-Entschlüsselung durchgeführt werden soll.
- Sie können auch ein Entschlüsselungs Profil erstellen, das auf die Regel angewendet werden soll:
- Die Änderung begehen.
Die zu Entschlüsselungs pflichtigen Firewall-Sessions werden durch ein Sternchen identifiziert. Um diese Sessions zu sehen, verwenden Sie den Filter "Match *", wie unten gezeigt:
> Show Session all | Partie
36496 SSH ACTIVE FLOW * 10.16.0.34 [54618]/Trust/6
(10.16.0.34 [54618])
Hinweis: das Sternchen wird verwendet, um sowohl SSL als auch ssh entschlüsselte Sessions zu identifizieren.
Siehe auch
Weitere Informationen über die Port-Weiterleitung im SSH finden Sie unter: Details zur Port-WeiterLEITUNG im SSH.
Besitzer: Pvemuri