SSL升级到 8.0 后入站检查的解密错误 PAN-OS
83660
Created On 09/26/18 20:46 PM - Last Modified 09/22/21 03:28 AM
Symptom
SSL 入站策略在 PAN-OS 7.1 上配置时有效,但在升级到 8.0 后,某些会话出现故障,日志显示解密错误。 以下是会话失败的示例:
admin@firewall> show session id 318075 Session 318075 c2s flow: source: 200.0.0.1 [Untrust] dst: 100.0.0.1 proto: 6 sport: 56272 dport: 25 state: INIT type: FLOW src user: unknown dst user: unknown s2c flow: source: 192.168.1.100 [Trust] dst: 200.0.0.1 proto: 6 sport: 25 dport: 56272 state: INIT type: FLOW src user: unknown dst user: unknown start time : Wed Apr 17 14:04:30 2019 timeout : 15 sec total byte count(c2s) : 3975 total byte count(s2c) : 5583 layer7 packet count(c2s) : 13 layer7 packet count(s2c) : 16 vsys : vsys1 application : smtp rule : Inbound-SMTP session to be logged at end : True session in session ager : False session updated by HA peer : False address/port translation : destination nat-rule : smtp(vsys1) layer7 processing : enabled URL filtering enabled : True URL category : business-and-economy session via syn-cookies : False session terminated on host : False session traverses tunnel : False captive portal session : False ingress interface : ae1 egress interface : ae2 session QoS rule : N/A (class 4) tracker stage firewall : proxy decrypt failure tracker stage l7proc : ctd proc changed end-reason : policy-deny
Environment
PAN-OS 8.0及以上。 SSL 已配置入站检查。
Cause
在 PAN-OS 8.0 之前,入站检查完全处于被动状态。 由于 firewall 有证书和私人密钥, firewall 可以解密在飞行中无需代理。 从 PAN-OS 8.0 开始, 迪菲 - 赫尔曼交换 DHE () 或椭圆形曲线迪菲 - 赫尔曼交换 ECDHE () 得到支持。
由于这两个协议使用"完美转发保密 PFS "(),因此 firewall 在外部客户端和内部服务器之间充当中间人代理。 因为 PFS 每次会话都会生成新密钥, firewall 因此不能简单地复制和解密入站 SSL 流量,因此 firewall 必须充当代理设备。
firewall现在作为代理,如果 firewall 无法完成 SSL 握手,会话将因解密错误而终止。 解密失败的常见原因是
:–不受支持的密码套件
–不受支持的 EC 曲线
-使用证书链
的服务器-服务器发送客户端证书验证
-服务器配置与客户端证书身份验证
-客户 SSL 发送警报由于未知证书或坏证书
Resolution
Additional Information
有关入境检查的更多信息 SSL ,请查看本文:SSL 入站检查。