防火墙是否可以在未启用解密的情况下对HTTPS流量应用URL 过滤功能？

• Palo Alto 防火墙
• 支持的 PAN OS
• URL过滤

• 是的， URL过滤可应用于无需SSL 解密的HTTPS流量。

1. 在SSL会话创建期间，会先进行TCP握手，然后进行TLS/ SSL握手。
2. TLS/ SSL握手后流量被加密。
3. 在TLS/ SSL握手中，SNI（服务器名称标识）字段包含正在发生TLS/ SSL握手的网站/域。
4. 防火墙将使用 SNI 字段来识别FQDN并应用URL 过滤配置文件。
5. 这些详细信息仅显示在URL 过滤日志中。
6. 由于识别服务器名称时流量未加密，因此防火墙不需要任何解密。

例子：

• 在下面的捕获中，防火墙接收www.paloaltonetworks.com的HTTPS流量。
• 此FQDN名称在服务器名称标识部分下的TLS/ SSL标头中提及。

在URL 过滤文件中使用通配符的示例.