Le pare-feu peut-il appliquer des capacités de filtrage des URL sur le trafic HTTPS sans activer le décryptage?

Le pare-feu peut-il appliquer des capacités de filtrage des URL sur le trafic HTTPS sans activer le décryptage?

14318
Created On 06/27/22 10:06 AM - Last Modified 03/31/25 11:16 AM


Question


Sans décryptage activé, le pare-feu peut-il appliquer de manière fiable les capacités de filtrage des URL sur le trafic HTTPS ?

Environment


  • Pare-feu de Palo Alto
  • Système d'exploitation PAN pris en charge
  • Filtrage URL

Answer


  • Oui, le filtrage URL peut être appliqué au trafic HTTPS sans le décryptage SSL.
Détails:
  1. Lors de la création d'une session SSL , la négociation TCP se produit, suivie de la négociation TLS/ SSL .
  2. Le trafic est crypté après la négociation TLS/ SSL, le trafic est crypté.
  3. Dans la négociation TLS/ SSL , le champ SNI ( Server Name Identification ) contient le site Web/domaine pour lequel la négociation TLS/ SSL a lieu.
  4. Le pare-feu utilisera le champ SNI pour identifier le FQDN et appliquer le profil de filtrage des URL .
  5. Ces détails ne sont affichés que dans les journaux de filtrage des URL .
  6. Comme le trafic n'est pas crypté lorsque le nom du serveur est identifié, le pare-feu n'a besoin d'aucun décryptage.

Additional Information


Exemple:

  • Dans la capturer ci-dessous, le pare-feu reçoit le trafic HTTPS pour www.paloaltonetworks.com .
  • Ce nom FQDN est mentionné dans l'en-tête TLS/ SSL sous la section Identification du nom du serveur .

SNI Snippet


Exemples d'utilisation de caractères génériques dans les profils de filtrage des URL.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CqD7CAK&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language