SSL升级到 8.0 后入站检查的解密错误 PAN-OS
83660
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM
Symptom
SSL 入站策略在 PAN-OS 7.1 上配置时有效,但在升级到 8.0 后,某些会话出现故障,日志显示解密错误。 以下是会话失败的示例:
admin@firewall> show session id 318075
Session 318075
c2s flow:
source: 200.0.0.1 [Untrust]
dst: 100.0.0.1
proto: 6
sport: 56272 dport: 25
state: INIT type: FLOW
src user: unknown
dst user: unknown
s2c flow:
source: 192.168.1.100 [Trust]
dst: 200.0.0.1
proto: 6
sport: 25 dport: 56272
state: INIT type: FLOW
src user: unknown
dst user: unknown
start time : Wed Apr 17 14:04:30 2019
timeout : 15 sec
total byte count(c2s) : 3975
total byte count(s2c) : 5583
layer7 packet count(c2s) : 13
layer7 packet count(s2c) : 16
vsys : vsys1
application : smtp
rule : Inbound-SMTP
session to be logged at end : True
session in session ager : False
session updated by HA peer : False
address/port translation : destination
nat-rule : smtp(vsys1)
layer7 processing : enabled
URL filtering enabled : True
URL category : business-and-economy
session via syn-cookies : False
session terminated on host : False
session traverses tunnel : False
captive portal session : False
ingress interface : ae1
egress interface : ae2
session QoS rule : N/A (class 4)
tracker stage firewall : proxy decrypt failure
tracker stage l7proc : ctd proc changed
end-reason : policy-denyEnvironment
PAN-OS 8.0及以上。 SSL 已配置入站检查。
Cause
在 PAN-OS 8.0 之前,入站检查完全处于被动状态。 由于 firewall 有证书和私人密钥, firewall 可以解密在飞行中无需代理。 从 PAN-OS 8.0 开始, 迪菲 - 赫尔曼交换 DHE () 或椭圆形曲线迪菲 - 赫尔曼交换 ECDHE () 得到支持。
由于这两个协议使用"完美转发保密 PFS "(),因此 firewall 在外部客户端和内部服务器之间充当中间人代理。 因为 PFS 每次会话都会生成新密钥, firewall 因此不能简单地复制和解密入站 SSL 流量,因此 firewall 必须充当代理设备。
firewall现在作为代理,如果 firewall 无法完成 SSL 握手,会话将因解密错误而终止。 解密失败的常见原因是
:–不受支持的密码套件
–不受支持的 EC 曲线
-使用证书链
的服务器-服务器发送客户端证书验证
-服务器配置与客户端证书身份验证
-客户 SSL 发送警报由于未知证书或坏证书
Resolution
Additional Information
有关入境检查的更多信息 SSL ,请查看本文:SSL 入站检查。