“abgoogle.com”与中指定的“*.google.com”不匹配SSL解密排除

“abgoogle.com”与中指定的“*.google.com”不匹配SSL解密排除

8163
Created On 11/21/19 02:48 AM - Last Modified 06/01/23 07:07 AM


Symptom


即使在中指定了 *.google.com,abgoogle.com 的流量也会被解密SSLDevice -> Certificate Management下的解密排除

Environment


帕洛阿尔托网络firewall配置有SSLDevice -> Certificate Management下的解密排除

Cause


现在SSL解密排除仅支持“^”(插入符号)。 星号在内部转移到插入符号。
星号的行为方式与插入符 (^) 的行为方式相同URL类别例外——每个星号控制主机名中的一个可变子域(标签)。

Resolution


例如,要使用通配符从解密中排除“video-stats.video.google.com”但不从解密中排除“video.google.com”,请排除 *.*.google.com。
这是另一个向您展示如何使用星号的示例;
  • mail.*.com 匹配 mail.company.com 但不匹配 mail.company.sso.com。
  • *.company.com 匹配 tools.company.com 但不匹配 eng.tools.company.com。
  • *.*.company.com 匹配 eng.tools.company.com 但不匹配 eng.company.com。
  • *.*.*.company.com 匹配 corp.exec.mail.company.com,但不匹配 corp.mail.company.com。
  • mail.google.* 匹配 mail.google.com,但不匹配 mail.google.uk.com。
  • mail.google.*.* 匹配 mail.google.co.uk,但不匹配 mail.google.com。

Additional Information


确认详情,请参考管理员指南;
PAN-OS管理员指南 8.1 版
PAN-OS管理员指南 9.0 版
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PNaUCAW&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language