SNI フィールドを使用して、SSL トラフィック用のカスタム アプリケーションを作成する方法

この資料では、パン OS がカスタム アプリケーションを作成する SNI (サーバー名を示します) フィールドを活用できる方法について説明します。

SNI (サーバ名表示) とは何ですか?

SNI は、クライアントが接続を試みているホスト名を示す SSL/TLS プロトコルの拡張機能です。
SNI は、要求されたホスト名 (web サイトアドレス) を TLS ハンドシェイク内に挿入し (ブラウザは「クライアント Hello」の一部として送信します)、サーバーがブラウザに提示する最も適切な SSL 証明書を決定できるようにします。

SNI を使用してカスタム アプリケーションを作成するとき

SNI フィールドが一貫性のある場合、それ確実に使えるアプリケーションを識別します。

カスタム アプリケーションを定義し、SSL 復号化を必要とせず SSL トラフィックを制御するために使用することができます。

カスタム アプリケーションの作成例

次の例は、SNI フィールドが www.youtube.com として表示される YouTube 用のカスタムアプリケーションを作成する方法を示しています (例としてのみ)。

クライアントこんにちはの SNI フィールドの一貫性のトラフィックを分析します。

オブジェクトに移動 > アプリケーション > を追加。

1。アプリケーションの一般的なプロパティを定義します。

2。ポートとプロトコル TCP 443 とそれぞれ定義、SSL 通信に TCP プロトコルとポート 443 を使用するので。

必要に応じて、その他のタイムアウトの設定を定義します。

3。アプリケーション定義の最後と最も重要な部分は、コンテキストを「ssl-要求-クライアント-hello」として選択し、
クライアント hello SNI フィールドに表示される必要なパターンを定義することです。

注:

• 徹底的にカスタム アプリケーションの信頼性を確保するためのアプリケーションの署名を作成する前に、トラフィックの分析をお勧めします。
• さまざまな場面で異なる SNIs を使用する同じ web サービス、それ故にすべての可能性を考慮するを取る必要があります。
• SNI フィールドは、クライアントがサーバーに接続しようとするホスト名を使用して、したがって、クライアントからの要求で変更がカスタム アプリケーションに合わせて停止可能性があります。