有关 SSH 内部端口转发的详细信息

在 ssh 上启用端口转发, 可以通过 ssh 隧道其他应用程序。但是这样做可能会造成安全风险, 因为用户可以绕过帕洛阿尔托网络设备上基于应用程序的安全策略。

帕洛阿尔托网络设备使用 SSH 代理功能解决此风险。可以在设备上配置解密策略以解密 SSH 会话。在此策略下, 如果用户执行任何 ssh 端口转发、远程转发或 X11, 会话将被确定为 SSH 隧道。因此, 可以根据安全策略对 SSH 隧道应用程序采取行动。

重要信息 ！

1. "中间的人" SSL 解密方法用于 SSH 代理。
2. 帕洛阿尔托网络设备只支持 SSH 版本2。
   如果客户端只支持 SSH 1 版, 则当它从帕洛阿尔托网络设备接收到版本字符串时, 它应该退出.
3. 在 SSH 隧道会话中不执行内容和威胁检查。

请参见

如何在帕洛阿尔托网络设备上实现 SSH 解密

所有者： swhyte