Diferencia entre SSL el proxy delantero y el modo de descifrado de inspección entrante

Al configurar SSL el descifrado policy para definir el tráfico elegible para el SSL descifrado, usted tiene que hacer una elección entre 2 diversos tipos/modos:

• SSL Forward Proxy
• SSL Inspección de entrada

Este artículo explica la diferencia entre los dos modos.

Forward Proxy

SSL Proxy de reenvío que muestra a un usuario interno que va a un SSL sitio externo.

En el modo Proxy de reenvío, PAN-OS interceptará el tráfico que coincide con SSL el que coincide y actuará como proxy ( ) policy MITM generando un nuevo certificado para el URL acceso. Este nuevo certificado se presentará durante SSL el apretón de manos al sitio web de acceso del Cliente con SSL . Este certificado se firmará con el CA certificado autofirmado u otro certificado especificado como:

Nota: Si desea usar un certificado emitido por terceros, debe ser un CA certificado y tendrá que importar la clave privada pública AND (par de claves).

A

Nota:Si el mismo certificado se configuró con los indicadores Certificado de confianza directa y Certificado de no confianza de reenvío habilitados, esto sería un riesgo de seguridad, porque los clientes detrás de los firewall clientes siempre se presentarían con un certificado en el que confían, incluso cuando el servidor se presenta con un certificado no válido que no se debe confiar.

1. El usuario interno está tratando de comunicarse www.google.com con https. El tráfico coincide con el descifrado. policy
2. Este tráfico es manejado por nuestro SSL motor proxy, y un certificado para www.google.com es generado por nuestro interno PKI (firmado por el CA certificado).
3. PAN-OS está proxying el SSL tráfico y la configuración de una nueva conexión con el servidor SSL web.
4. Web Server está iniciando el apretón de manos con el PAN-OS dispositivo.
5. PAN-OS dispositivo está completando su SSL apretón de manos con el cliente presentando el certificado generado en el mensaje de saludo del servidor.

Inspección de entrada

Inspección entrante que muestra cuándo un usuario externo entra en un servidor web internamente o en un DMZ archivo .

En el modo inspección entrante, PAN-OS no actuará como un proxy con el tráfico que coincide con el . intentará descifrar SSL este tráfico policy PAN-OS SSL 'sobre la marcha' escuchando el apretón de manos y utilizando el SSL certificado asociado (par de claves) configurado en el descifrado policy como se indica a continuación:

Nota: Este modo de descifrado sólo puede funcionar si tiene control sobre el certificado de servidor Web de destino para permitir la importación de par de claves en Palo Alto Networks Device. Es por eso que este modo de descifrado se utiliza a menudo para descifrar SSL el tráfico entrante a Internal Web Server.

1. El cliente externo está tratando de comunicarse con el sitio interno www.domain.com con https. El tráfico coincide con el descifrado. policy
2. Nuestro SSL motor proxy está empezando a espiar la sesión con el par de claves SSL asociado.
3. SSL solicitud se envía a Web Server sin ser proxied.
4. PAN-OS inspeccionará el mensaje Server-Hello durante el protocolo de enlace para comprobar si ambos certificados (enviados por el servidor y utilizados en 2) coinciden.
5. Si hay un partido, descifrado será exitoso para el resto de la sesión; de lo contrario, descifrado será estar fallando (contadores globales dedicados resucitarán).

Ver también

SSL lista de recursos de descifrado

La SSL lista de recursos de descifrado tiene una larga lista de artículos que tratan solo con SSL descifrado.

Propietario: nbilly