クリアテキストの HTTP2 トラフィックが他のトラフィックによって復号化されるのはなぜですかSSLプロキシベンダーが機能していない?
7217
Created On 05/31/21 21:10 PM - Last Modified 07/16/24 13:41 PM
Question
クリアテキスト http2 トラフィックが他のトラフィックによって復号化されるのはなぜですかSSLベンダーが機能していないのですか?
Environment
- パロアルト Firewall
- PAN-OS:9.0.x、9.1.x、10.0.x、10.1.x
- 復号化プロファイルが有効になっていません
- サードパーティの復号化デバイス (例: シマンテック)SSLVプロキシ アプライアンス)
Answer
http2 トラフィックを処理するにはプロキシが必要です。 デフォルトでは、復号化プロファイルは必要なく、クリア テキスト http2 トラフィックに対してデフォルトで有効になっています。 クリア テキスト http2 トラフィックは、パロ アルトに入る前に他のプロキシ デバイスによってすでにプロキシ処理/復号化されているため、Firewall 、クリア テキスト http2 トラフィックのデフォルト プロキシをオフに設定する必要があります。これは次の方法で実行できますCLI以下のコマンド
admin@PA> configure
admin@PA# set deviceconfig setting ctd http2-cleartext-proxy no
admin@PA# commit force
admin@PA# end