实施解密时的限制和建议 SSL

细节

SSL 解密在以下情景下不起作用或生效：

限制

1. 转发代理解密不能与相互身份验证一起使用
   1. 服务器希望在握手时提供用户证书， 而 Palo Alto 网络 firewall 无法访问用户的私钥和证书
2. 当使用不支持的协议或密码时, 无法解密内容
   1. TLS 1.2 不能在 PAN-OS 6.0 之前解密
   2. PAN-OS在 6.0 之前， TLS 1.2 会话降级到 TLS 1.1
   3. 以下密码套件不支持解密
      ：AES128-SHA256 GCM-
      注：AES128-SHA256 GCM- 支持 PAN-OS 7.1 及以上。
   4. 防火墙不解密 Diffie-Hellman 密钥交换用于 PAN-OS 7.1 和早期版本中的转发代理解密的会话

建议

1. 如果有一个企业 CA 到位，使用它，因为它是值得信赖的
2. SSL为一小群用户或单个子网启用解密
3. 始终使用 URL 类别解密选择性内容，如社交网络。
4. 在某些国家/地区，由于法律原因，某些连接无法解密，因此使用 URL 类别来排除敏感类别。

下文包含排除 SSL 在外的应用程序列表解密：排除在 SSL 解密范围之外的应用程序列表

请参见

兼容性矩阵：支持密码套件 PAN-OS （7.1 和 8.0）

SSL 解密由于不受支持的密码套件而无法正常工作

如何实施和测试 SSL 解密

所有者： dantony