如果出现这种情况应该采取什么预防措施Firewall交通意欲CDSS通信通过一个MITM代理人？

9425

Created On 11/29/22 17:52 PM - Last Modified 05/09/23 03:29 AM

Question

答案可以用下面的例子来解释

PAN设备 ------> 边缘MITM周三代理（外部供应商）-------->PAN安全服务云。

A会话之间Firewall和CDSS如果环境有MITM上游流量代理（不是帕洛阿尔托网络设备）。
这MITM代理可以配置为代理安全会话到CDSS代表客户服务（PAN Firewall /Devices），这意味着它可以将其证书添加到会话中以进行深度数据包检测。
- 这也意味着会话从Firewall用于PAN云中断，代理已开始代表Firewall.
- 帕洛阿尔托网络公司cloud services将接受来自的连接Firewall（或任何其他PAN设备），如果他们可以验证它。此身份验证是由提供的证书Firewall在握手过程中SSL/TLS握手
- 当外部代理代表Firewall，它使用它的证书，这与预期的不同。结果，连接将被拒绝。
为避免上述情况并成功建立连接Firewall/任何PAN设备到CDSS, 在中添加一个谨慎的例外规则代理人配置。请参阅代理的文档，因为这些代理是外部设备，而不是帕洛阿尔托的。该规则应明确拒绝对每个PAN设备到CDSS流，以便代理不会解密和重新加密该流量。
如果代理是app意识到，这种流量可以通过应用程序识别，也可以通过目的地或其他方法识别。
即使代理没有解密，它也可以根据内置规则或DNS-重定向。确保DNS-resolve 不修改解析地址。

云提供的安全服务示例 (CDSS ）是Wildfire,DNS security ,ATP ，和更多。
A firewall 或其他PAN设备可能会发送对工件（哈希，URL , 或域）到CDSS并将等待响应，或者它可能需要与任何一个进行通信CDSS驻留在“云”中的服务。
在存在中间人的环境中（MITM ) 边缘的 Web 代理，用于PAN设备和互联网，它可能会扰乱时间CDSS通信，这会导致云服务出现异常行为。这是一个外部供应商代理，例如 Blue-coat、F5、Cisco umbrella 等。