暗号の PA Firewall SSL インバウンド検査 PFS を行う動作
36548
Created On 12/12/18 06:56 AM - Last Modified 03/26/21 17:28 PM
Symptom
8.0 からは、 PA 暗号の受信復号化をサポート PFS しています: SSL 受信検査
上記のドキュメントで説明されているように、 PA Firewall 外部クライアントと内部サーバー間のプロキシとして機能する必要があります。 この記事では、作業といくつかの注意事項について説明します。
トラフィック フローは次のとおりです。
- TCP-3ウェイハンドシェイクの後、クライアントはクライアント Hello を送信します。
- この時点では、 firewall サーバーが暗号を選択するかどうかはわからない PFS ため、クライアント Hello はプロキシ関数が呼び出されることなく変更されずに送信されます。 これは、受信および送信キャプチャを使用して確認できます firewall 。
- サーバーがサーバー Hello で応答すると、 Firewall 暗号化解除プロファイル -> SSL プロトコル設定で許可された暗号を検査します。
- サーバー Hello で選択したプロトコル バージョン/暗号/アルゴリズムが NOT プロトコル設定で有効なプロトコル バージョン/暗号/アルゴリズムと一致する場合 SSL は、 firewall 受信検査で選択したオプションに基づいてセッションをブロックまたは許可する必要があります SSL 。
- サーバー Hello で選択したプロトコル バージョン/暗号/アルゴリズムがプロトコル設定で有効になっているプロトコル バージョン/暗号/アルゴリズムと一致 SSL する場合、選択した暗号の動作に基づく次の動作になります。
- RSA 暗号 : firewall プロキシモードは必要ありませんし、単にクライアントをこんにちはサーバーを渡します。 この場合 firewall 、サーバー証明書のキーを使用して、残りの通信を検査できます。
- PFS暗号すなわち DHE ECDHE 暗号: PA Firewall はプロキシモジュールを呼び出し、次を実行します:
- 独自のサポートされている拡張機能と / キー DH ECDH のパラマータを使用してサーバー Hello を構築します。 サポートされているキーサイズ、カーブ、拡張機能をチェックすると、他の SSL 接続が失敗する可能性があります。
- セッション ID (セッション再開に使用) がサーバー Hello に存在する場合 firewall 、セッションは 0 に設定されます ID 。 これは、 firewall 再開されたセッションで使用されたキーがないためです。
- Firewall は、 firewall サーバーから来るものではなく、にインポートされた証明書を送信します。 したがって、チェーン全体を1つのバンドルとしてインポートする必要がありますHOW TO INSTALL A CHAINED CERTIFICATE SIGNED BY A PUBLICCA。
- Firewall は、独自のサーバー キー交換およびクライアント キー交換メッセージを生成し、ハンドシェイクを完了します
- この転記トランザクションはフォワード プロキシとして続行されます
Additional Information
NOTE: