復号化の実装時の制限と推奨事項 SSL

詳細

SSL 次のシナリオでは、復号化が機能しないか、有効になりません。

制限

1. フォワードプロキシ復号化が相互認証で機能しない
   1. サーバーはハンドシェイク中にユーザー証明書が提示されることを想定しており、 パロアルトネットワークス firewall はユーザの秘密鍵と証明書にアクセスできない
2. サポートされていないプロトコルまたは暗号を使用した場合、コンテンツを解読できない
   1. TLS 1.2 は 6.0 より前に復号できません PAN-OS
   2. PAN-OS6.0 より前の TLS 1.2 セッションは 1.1 にダウングレードされました TLS
   3. 次の暗号スイートは復号化に対してサポートされていません:
      AES128- GCM- SHA256
      注: AES128- GCM- SHA256 は PAN-OS 7.1 以降でサポートされています。
   4. 7.1 以前のリリースで、Diffie-Hellman キー交換がフォワード プロキシ復号化に使用されるセッションを、ファイアウォールが復号化しない PAN-OS

推奨 事項

1. エンタープライズが存在する場合は CA 、信頼されているため、それを使用します
2. SSL少数のユーザー グループまたは単一のサブネットに対して復号化を有効にする
3. ソーシャル URL ネットワーキングなどの選択的コンテンツを解読するには、常にカテゴリを使用します。
4. 一部の国では、法律のために特定の接続を復号化できないため、 URL カテゴリを使用して機密性の高いカテゴリを除外します。

次のドキュメントには、除外 SSL されるアプリケーションの一覧が含まれています。復号化:復号化から除外されたアプリケーションの一 SSL 覧

また見なさい

互換性マトリック: サポートされている暗号スイート PAN-OS (7.1および8.0用)

SSL サポートされていない暗号スイートが原因で復号化が機能しない

復号化を実装してテストする方法 SSL

所有者: dantony