Firewall 解密与 A 无解密相关的流量 Policy
14985
Created On 04/22/20 03:15 AM - Last Modified 03/26/21 18:17 PM
Symptom
- 交通日志显示 SSL 解密流量匹配 URL 类别在 无解密 policy:
- 配置解密策略 ( GUI : >解密的政策)
- 配置 URL 类别 ( : GUI 自定义对象>对象> URL 类别)
- Web 浏览器可能会报告证书错误。 例如,Chrome 在搜索栏旁边显示"不安全"
Environment
- PAN-OS 8.1 及以上。
- 帕洛阿尔托 Firewall .
- SSL 前方代理配置。
Cause
- 地址对象包含一个 FQDN (在此示例中:minemeld.thegreatwall.io)
- SNI握手中出示的(如果存在)或服务器证书均 CN SSL 未引用 FQDN 自定义 URL 对象中的引用。
Resolution
- 将服务器名称或证书 CN (如果 SNI 不包括在握手中)包含到自定义 URL 对象。 在此示例中,10.20.0.76 已添加到"MineMeld"对象中。
( GUI : 自定义对象>对象> URL 类别>(配置对象的名称)>添加> IP 在下 URL 或站点列中输入地址)
- 提交 更改。 解密 policy 应该可以正常工作。
Additional Information
- 对于应解密但未解密的流量,可以应用相同的原则。
- 在某些情况下, SNI 如果握手中不包括该 SSL 数据包,则可能需要在不解密的情况下进行数据包捕获,以便获得真正的服务器证书 CN 。
- 在生产环境中,用户/主机可能为此暂时排除在解密之外。