PA Firewall SSL 对密码进行入站检查的行为 PFS
36554
Created On 12/12/18 06:56 AM - Last Modified 03/26/21 17:28 PM
Symptom
从 8.0 起, PA 支持密码的入站解密 PFS :正如SSL
上述文档所解释的,必须 PA Firewall 充当外部客户端和内部服务器之间的代理。 本文解释了工作和一些警告。
以下是流量:
- 方式 TCP-3 握手后,客户发送客户端你好
- 此时, firewall 不知道服务器是否会选择 PFS 密码,因此客户端 Hello 在未调用任何代理功能的情况下未发生任何发生任何情况。 这可以通过接收和传输捕获来确认 firewall 。
- 当服务器响应服务器你好, Firewall 将检查它对解密配置文件-> SSL 协议设置允许密码。
- 如果"服务器你好"中的"选定协议"版本/密码/算法 NOT 与协议设置中启用的协议版本/密码/算法相匹配 SSL ,则 firewall 应根据 SSL 入站检查中选择的选项阻止或允许会话。
- 如果服务器中的"选定协议"版本/密码/算法与协议设置中启用的协议版本/密码/算法匹配 SSL ,则基于所选密码行为如下:
- RSA 密码 : firewall 将不需要代理模式,将只是通过服务器你好客户端。 在这种情况下, firewall 可以使用服务器证书中的密钥来检查通信的其余部分。
- PFS密码即 DHE ECDHE 密码: PA Firewall 将调用代理模块并将执行以下:
- 使用自己支持的扩展和 DH / ECDH 关键护栏构建服务器你好。 检查支持的关键大小、曲线和扩展,因为其他 SSL 连接可能会失败。
- 如果会话 ID (用于会话恢复)存在于服务器你好, firewall 将会话设置 ID 为0。 这是因为 firewall 将没有恢复会话中使用的密钥。
- Firewall 将发送证书导入 firewall 到,而不是从服务器来。 因此,它需要导入整个链作为一个捆绑: HOW TO INSTALL A CHAINED CERTIFICATE SIGNED BY A PUBLICCA
- Firewall 将生成自己的服务器密钥交换和客户端密钥交换消息,从而完成握手
- 过帐此事务将继续作为转发代理
Additional Information
NOTE:
- 在入站检查中 PFS ,我们不会 OCSP CRL 像远期代理那样进行/查找。
- 对于 DHE / ECDHE 键,我们使用最少256个手提包或2048位密钥,因此客户端不支持2048位 DH 密钥,客户端将重置 SSL 连接。 检查对 SSL 密码/键/算法的支持有限的任何插件
- 对于 PFS 密码,我们目前不支持客户端证书,因此 SSL 连接将失败。
要排除任何问题,请执行以下操作:
1. 启用"客户端->服务器( NAT IP 如果有目的地 NAT )"和"服务器(私人 IP )->客户端"的过滤器实现数据包捕获。 如有必要,可以额外使用端口。
2. 此外,如果可能的话,客户端和服务器上的封装可以帮助更多。
3. 数据包诊断可以采取与流基本, 代理所有, ssl 所有, tcp 所有标志。
2. 此外,如果可能的话,客户端和服务器上的封装可以帮助更多。
3. 数据包诊断可以采取与流基本, 代理所有, ssl 所有, tcp 所有标志。
4. 使用多个客户端浏览器或打开客户端进行测试:
窗户:
openssl.exe s_client - 调试 - 密码 - www.example.com:443 <Cipher> - tls [1|2]</Cipher>