CLI 사용하여 Panorama Template에서 SSL/TLS 서비스 프로파일 에 대한 SSL 암호를 비활성화하는 방법
3769
Created On 06/29/22 23:43 PM - Last Modified 01/07/25 12:31 PM
Objective
- SSL/TLS 프로필이 방화벽에서 로컬로 구성되지 않고 Panorama에서 구성된 시나리오가 있습니다.
- 암호 수정은 CLI 사용해서만 가능합니다.
- Panorama Template이 푸시되었을 때 SSL/TLS 프로필에서 로컬 방화벽으로 암호를 수정할 수 없으므로 Panorama CLI 사용하여 수정하고 방화벽에 수정 사항을 푸시해야 합니다.
Environment
- 파노라마
- 모든 Palo Alto Networks 방화벽
- PANOS 9.0.x 이상 버전
Procedure
메모
- 산타클라라PVE = 템플릿 이름
- 관리 = ssl-tls-서비스 프로파일 이름
- Panorama CLI 에서 구성 모드에 액세스
> configure
- 다음 명령을 입력 하고 마지막에 있는 Tab 키를 눌러 SSL 암호화 옵션을 확인하세요.
# set template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings
+ auth-algo-sha1 Allow authentication SHA1
+ auth-algo-sha256 Allow authentication SHA256
+ auth-algo-sha384 Allow authentication SHA384
+ enc-algo-3des Allow algorithm 3DES
+ enc-algo-aes-128-cbc Allow algorithm AES-128-CBC
+ enc-algo-aes-128-gcm Allow algorithm AES-128-GCM
+ enc-algo-aes-256-cbc Allow algorithm AES-256-CBC
+ enc-algo-aes-256-gcm Allow algorithm AES-256-GCM
+ enc-algo-rc4 Allow algorithm RC4
+ keyxchg-algo-dhe Allow algorithm DHE
+ keyxchg-algo-ecdhe Allow algorithm ECDHE
+ keyxchg-algo-rsa Allow algorithm RSA
+ max-version max-version
+ min-version min-version
<Enter> Finish input
- SSL 암호를 선택한 후 "아니요"를 선택하세요 .
# set template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings keyxchg-algo-ecdhe no
- 변경 사항 커밋
# commit
- 파노라마에서 확인
# show template Santa-Clara-PVE config shared ssl-tls-service-profile management protocol-settings
protocol-settings {
min-version tls1-0;
max-version max;
keyxchg-algo-ecdhe no;
}
[edit]
#
- GUI를 사용한 푸시 구성
- 구성 모드 에서 방화벽의 CLI 에서 확인하세요
> configure
# show template shared ssl-tls-service-profile <name of the SSL-TLS profile> protocol-setting
ex
# show template shared ssl-tls-service-profile management protocol-setting
protocol-settings {
min-version tls1-0;
max-version max;
keyxchg-algo-ecdhe no;
}
[edit] #