您希望对支持和允许的协议或算法有更多的控制吗?在 PAN OS 7.0 中引入的一个功能增加了将密码套件和/或协议作为解密配置文件的一部分的能力。它还添加了在不进行 SSL 解密的情况下, 使用不受信任的发行者阻止过期证书或服务器证书的选项。
解密配置文件配置在 "对象" 选项卡 > 解密配置文件中。
如果用户没有创建自定义 decrpytion 配置文件, 则我们返回到 "默认" 配置文件。 此配置文件将应用于没有应用自定义配置文件的所有解密会话。在屏幕截图中, 您将看到在默认配置文件上配置的值。无法更改此默认配置文件的值:
但是, 您可以创建一个自定义配置文件, 如下面的示例所示
- 转到 "对象" 选项卡
- 转到解密配置文件
- 单击" 添加
- 转到 SSL 解密选项卡
- 转到 SSL 协议设置
在配置文件中, 您可以看到支持的加密算法和支持的身份验证算法。 请注意, 您还可以选择协议版本的最小和最大版本。
一些例子:
使用上述配置, 防火墙将修改客户端 Hello, 只包括 RC4 密码:
如果服务器支持 RC4, 则可以在浏览器中确认连接有效地使用 RC4 作为加密算法:
通过选择最小版本的 TLSv1.2, 您将立即注意到某些加密算法被禁用 (3DES 和 RC4), 这是身份验证算法 MD5。
此外, 在这种情况下, 您将看到防火墙修改客户端 Hello, 仅包括 TLSv1.2 版本和密码:
您的浏览器将再次确认您现在使用的是 TLSv1.2:
如果服务器不支持 TLSv1.2 怎么办?
>> 在这种情况下, 服务器将答复与握手失败的消息如下所示:
在我们的示例中, 我们没有配置为阻止不受支持的协议版本. 因此, 防火墙将将此会话插入到排除缓存中:
>> 显示系统设置 ssl 解密排除-缓存
VSYS 服务器应用程序超时原因 DECRYPTED_APP 配置文件
1 10.193.91.71:443 ssl 43183 SSL_UNSUPPORTED 未定自定义配置文件
客户端将尝试再次连接。第二次, 连接将与排除缓存匹配, 并且会话通过防火墙而不进行解密:
为了阻止上述连接, 您应该在配置文件中配置 "不受支持的版本" 选项 "阻止会话"。
- 阻止包含不受信任的服务器证书的所有 SSL 会话, 而不启用解密
在此示例中, 在 "无解密" 选项卡下, 选择 "阻止不受信任的颁发者的会话", 然后将解密配置文件应用于解密规则, 并使用 "不解密" 操作:
请注意, 这些被阻止的会话不会出现在通信日志中。 您将在会话信息中看到这一点:
>> 显示会话 id 25350
会话 25350
c2s 流:
源: 172.19.73.64 [trust-l3]
dst: 10.193.91.71
原: 6
运动: 61457 dport: 443
状态: 丢弃类型: 流
s2c 流:
来源: 10.193.91.71 [untrust-l3]
dst: 10.193.91.73
原: 6
体育: 443 dport: 18929
状态: 丢弃类型: 流
开始时间: 星期二 3月3日 15:30: 48 2016
...
跟踪器阶段防火墙: 代理解密失败
结束原因: 策略拒绝
请留下评论或类似的, 如果你发现这些信息有帮助。
干杯!
金