为什么明文 HTTP2 流量被其他人解密SSL代理供应商不工作?

为什么明文 HTTP2 流量被其他人解密SSL代理供应商不工作?

7223
Created On 05/31/21 21:10 PM - Last Modified 07/16/24 13:41 PM


Question


为什么明文http2流量被其他人解密SSL供应商不工作?


拓扑结构

Environment


  • 帕洛阿尔托 Firewall
  • PAN-OS: 9.0.x, 9.1.x, 10.0.x, 10.1.x
  • 未启用解密配置文件
  • 第 3 方解密设备(例如赛门铁克SSLV代理设备)

Answer


需要代理来处理 http2 流量。 默认情况下,不需要解密配置文件,默认情况下它对明文 http2 流量启用。 由于明文 http2 流量在进入帕洛阿尔托之前已经被其他代理设备代理/解密Firewall,明文 http2 流量的默认代理需要设置为关闭。这可以通过CLI下面的命令
admin@PA> configure
admin@PA# set deviceconfig setting ctd http2-cleartext-proxy no
admin@PA# commit force
admin@PA# end

 
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000001VWECA2&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language