如何在帕洛阿尔托网络设备上实现 SSH 解密

概述

PAN OS 可以对通过防火墙的入站和出站 SSH 连接进行解密和检查。对于 SSH 解密, 没有必要的证书。在防火墙启动时, 将自动生成用于解密的密钥。在启动过程中, 防火墙将检查是否存在现有密钥。如果没有, 则生成一个键。此密钥用于解密设备上配置的所有 VSYS 的 SSH 会话。同一密钥用于解密所有 SSH v2 会话。

步骤

1. 转到策略 > 在 web UI 上解密。
2. 创建解密规则并指定应执行 ssh 解密的区域。
   
3. 还可以创建要应用于规则的解密配置文件:
   
4. 提交更改。

受解密的防火墙会话由星号标识。要查看这些会话, 请使用筛选器 "匹配 *", 如下所示:

>> 显示会话全部 |匹配

36496 ssh 活动流 * 10.16.0. 34 [54618]/信任/6

(10.16.0. 34 [54618])

注意:星号用于标识 SSL 和 SSH 解密会话.

请参见

有关 ssh 内的端口转发的详细信息, 请参阅: ssh 内部的端口转发细节.

所有者： pvemuri