SSL 转发代理 （在中间的男人）

当帕洛阿尔托网络设备配置为解密到外部站点的 SSL 通信时, 它将作为转发代理。在这种情况下, 帕洛阿尔托网络设备拦截客户端 SSL 请求, 并为客户端访问的站点生成一个证书。生成的安全连接位于客户端计算机和防火墙之间。

为了完成这个过程, 帕洛阿尔托网络设备然后启动另一个安全通道到实际服务器。这个过程被称为一个 "中间的人" 与帕洛阿尔托网络设备坐在中间的两个安全连接。

在实现正向 SSL 代理时, 有几个要点需要注意:

• 帕洛阿尔托网络防火墙生成的证书的有效期从实际服务器证书上的有效日期进行。
• 帕洛阿尔托网络生成证书颁发机构是帕洛阿尔托网络设备。如果设备证书不是现有层次结构的一部分, 或者未添加到客户端的浏览器缓存中, 则在浏览到安全站点时, 客户端将收到一条警告消息。
• 如果实际证书已由帕洛阿尔托网络防火墙不信任的权限颁发, 则将使用第二个不受信任的 CA 密钥颁发解密证书。这确保了用户被警告, 如果有后续的人在中间攻击发生。

所有者： swhyte