Warum funktioniert der Klartext-HTTP2-Datenverkehr, der von einem anderen SSL Proxy-Anbieter entschlüsselt wird, nicht?

Warum funktioniert der Klartext-HTTP2-Datenverkehr, der von einem anderen SSL Proxy-Anbieter entschlüsselt wird, nicht?

7215
Created On 05/31/21 21:10 PM - Last Modified 07/16/24 13:41 PM


Question


Warum funktioniert der Klartext-HTTP2-Datenverkehr, der von einem anderen SSL Anbieter entschlüsselt wird, nicht?


Topologie

Environment


  • Palo Alto Firewall
  • PAN-OS: 9.0.x, 9.1.x, 10.0.x, 10.1.x
  • Kein Entschlüsselungsprofil aktiviert
  • 3rd-Party-Entschlüsselungsgerät (z. B. Symantec SSLV Proxy Appliance)

Answer


Proxy wird benötigt, um HTTP2-Datenverkehr zu verarbeiten. Standardmäßig ist kein Entschlüsselungsprofil erforderlich, und es ist standardmäßig für Klartext-HTTP2-Datenverkehr aktiviert. Da der Klartext-HTTP2-Datenverkehr bereits von einem anderen Proxy-Gerät weitergeleitet/entschlüsselt wird, bevor Palo Alto Firewalleingegeben wird, muss der Standard-Proxy für Klartext-HTTP2-Datenverkehr deaktiviert werden.Dies kann mit dem CLI folgenden Befehl erfolgen:
 
admin@PA> configure
admin@PA# set deviceconfig setting ctd http2-cleartext-proxy no
admin@PA# commit force
admin@PA# end

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VWECA2&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language