如何在 SSL 不解密的情况下识别有关流量的网址信息
50761
Created On 02/07/20 18:26 PM - Last Modified 01/29/24 09:01 AM
Objective
如何识别 URL SSL 有关交通的信息而不解密
Environment
- 帕洛阿尔托 Firewall .
- 任何 PAN-OS .
Procedure
Palo Alto 网络 firewall 识别 HTTPS 未按服务器名称指示执行解密的情况下使用的 Web 流量 ( SNI )
在我们的示例中,我们配置了 policy 阻止 Facebook 基础和 Facebook 聊天的拒绝安全性
在 SSL 握手中 firewall 接收客户端你好包,并在握手协议中识别服务器名称指示字段 SSL 。
Additional Information
注意:
- SNI URL SSL 当解密未启用时,该分类用于分类。
- 如果客户端不发送 SNI ,则 CN 表示受证书保护的服务器名称的通用名称() SSL 用于 URL 分类。
- 将 Web 服务器的主机名放入过滤配置文件的允许或阻止列表中 URL ,基本上将实现与使用 CN 强制执行相同的目标 policy 。
- 在 firewall URL 数据平面和管理平面上都保留分类缓存。 如果其中包含的主机名称 SNI 不存在于任一缓存中, firewall 则将在云中执行对其类别的查找 URL 。