Firewall 非復号化に関連付けられたトラフィック A の復号 Policy
15005
Created On 04/22/20 03:15 AM - Last Modified 03/26/21 18:17 PM
Symptom
- SSLトラフィック一致カテゴリの復号を示すトラフィックログ URL は、非復号policyで:
- 構成された復号化ポリシー ( GUI : ポリシー>復号化)
- 構成 URL されたカテゴリ ( GUI : カスタム オブジェクト> URL カテゴリ>オブジェクト)
- Web ブラウザーは、証明書エラーを報告する可能性があります。 たとえば、Chrome では検索バーの横に "安全でない" と表示されます。
Environment
- PAN-OS 8.1以上。
- パロ アルト Firewall .
- SSL フォワード プロキシが構成されています。
Cause
- address オブジェクトには、次の例に minemeld.thegreatwall.io が含まれています FQDN 。
- SNIハンドシェイクで提示された (存在する場合) とサーバーの証明書はどちらも CN SSL FQDN 、カスタム オブジェクトの を参照 URL しません。
Resolution
- サーバー名または証明書 CN ( SNI ハンドシェイクに含まれていない場合) をカスタム オブジェクトに含 URL めます。 この例では、10.20.0.76 が "MineMeld" オブジェクトに追加されています。
( GUI : カスタム オブジェクト >> カテゴリ > URL (構成済みオブジェクトの名前) > [追加] >[ IP 下 URL またはサイト] 列にアドレスを入力するオブジェクト )
- 変更をコミット します。 復号化は policy 正常に動作するはずです。
Additional Information
- 同じ原則は、復号する必要があるが、復号化されていないトラフィックに適用することができます。
- ハンド SNI シェイクに含まれていない場合には SSL 、実際のサーバ証明書を取得するために、復号化せずにパケットキャプチャを行う必要がある場合があります CN 。
- 運用環境では、この目的のためにユーザー/ホストが一時的に復号化から除外される場合があります。