提示和技巧: 解密规则中的密码套件强制执行

您希望对支持和允许的协议或算法有更多的控制吗？在 PAN OS 7.0 中引入的一个功能增加了将密码套件和/或协议作为解密配置文件的一部分的能力。它还添加了在不进行 SSL 解密的情况下, 使用不受信任的发行者阻止过期证书或服务器证书的选项。

解密配置文件配置在 "对象" 选项卡 > 解密配置文件中。

如果用户没有创建自定义 decrpytion 配置文件, 则我们返回到 "默认" 配置文件。 此配置文件将应用于没有应用自定义配置文件的所有解密会话。在屏幕截图中, 您将看到在默认配置文件上配置的值。无法更改此默认配置文件的值:

但是, 您可以创建一个自定义配置文件, 如下面的示例所示

1. 转到 "对象" 选项卡
2. 转到解密配置文件
3. 单击" 添加
4. 转到 SSL 解密选项卡
5. 转到 SSL 协议设置

在配置文件中, 您可以看到支持的加密算法和支持的身份验证算法。 请注意, 您还可以选择协议版本的最小和最大版本。

一些例子:

• 强制 RC4 流密码

使用上述配置, 防火墙将修改客户端 Hello, 只包括 RC4 密码:

如果服务器支持 RC4, 则可以在浏览器中确认连接有效地使用 RC4 作为加密算法:

• 以低于 TLS 1.2 的协议版本阻止所有会话:

通过选择最小版本的 TLSv1.2, 您将立即注意到某些加密算法被禁用 (3DES 和 RC4), 这是身份验证算法 MD5。

此外, 在这种情况下, 您将看到防火墙修改客户端 Hello, 仅包括 TLSv1.2 版本和密码:

您的浏览器将再次确认您现在使用的是 TLSv1.2:

如果服务器不支持 TLSv1.2 怎么办？

>> 在这种情况下, 服务器将答复与握手失败的消息如下所示:

在我们的示例中, 我们没有配置为阻止不受支持的协议版本. 因此, 防火墙将将此会话插入到排除缓存中:

>> 显示系统设置 ssl 解密排除-缓存

VSYS 服务器应用程序超时原因 DECRYPTED_APP 配置文件
1 10.193.91.71:443 ssl 43183 SSL_UNSUPPORTED 未定自定义配置文件

客户端将尝试再次连接。第二次, 连接将与排除缓存匹配, 并且会话通过防火墙而不进行解密:

为了阻止上述连接, 您应该在配置文件中配置 "不受支持的版本" 选项 "阻止会话"。

• 阻止包含不受信任的服务器证书的所有 SSL 会话, 而不启用解密

在此示例中, 在 "无解密" 选项卡下, 选择 "阻止不受信任的颁发者的会话", 然后将解密配置文件应用于解密规则, 并使用 "不解密" 操作:

请注意, 这些被阻止的会话不会出现在通信日志中。 您将在会话信息中看到这一点:

>> 显示会话 id 25350
会话 25350
 c2s 流:
源: 172.19.73.64 [trust-l3]
 dst: 10.193.91.71
原: 6
运动: 61457 dport: 443
                状态: 丢弃类型: 流
s2c 流:
来源: 10.193.91.71 [untrust-l3]
 dst: 10.193.91.73
原: 6
体育: 443 dport: 18929
                状态: 丢弃类型: 流
开始时间: 星期二 3月3日 15:30:             48 2016
 ...
         跟踪器阶段防火墙: 代理解密失败
结束原因: 策略拒绝

请留下评论或类似的, 如果你发现这些信息有帮助。

干杯!

金