復号化せずにトラフィックの URL 情報を識別する方法 SSL

URL復号化せずにトラフィックに関する情報を識別する方法 SSL

• パロ アルト Firewall .
• 任意 PAN-OS の .

パロアルトネットワークス firewall は HTTPS 、サーバー名表示による復号化を実行せずに SNI 使用するウェブトラフィックを識別します ( )
ここでは policy FacebookベースとFacebookチャットをブロックする拒否セキュリティを設定しました

 




SSLハンドシェイクでは、 firewall クライアント Hello パケットを受信し、ハンドシェイク プロトコルの [サーバー名表示] フィールドを識別 SSL します。 
    

注:

• SNI復号化が有効になっていない場合は、 を URL 使用して分類 SSL します。
• クライアントが を送信しない場合 SNI 、 CN 証明書によって保護されているサーバー名を表す共通名 ( ) が SSL 分類に使用されます URL 。
• Web サーバーのホスト名をフィルタリング プロファイルの許可またはブロック リストに入れることは URL 、基本的には を使用して を適用するのと同じ目標 CN を達成 policy します。
• データ firewall URL プレーンと管理プレーンの両方で分類のキャッシュを保持します。 に含まれるホスト名 SNI がどちらのキャッシュにも存在しない場合、 は firewall 、そのカテゴリに対してクラウドでルックアップを実行 URL します。

SSL セッションが再分類されないようにする方法
SSL SNI フィールドを使用してトラフィック用のカスタム アプリケーションを作成する方法