TLS HTTP/2 パノラマを 9.1.14 にアップグレードした後、Web ページが読み込まれない

TLS HTTP/2 パノラマを 9.1.14 にアップグレードした後、Web ページが読み込まれない

4780
Created On 06/12/22 22:22 PM - Last Modified 04/24/24 18:36 PM


Symptom


  • Firewall にアップグレードPAN-OS9.1.14
  • TLS トラフィックが復号化されている場合、Web ページは http/2 トラフィックの読み込みに失敗します
  • 見られる問題はありませんTLShttp/1.1 を使用したトラフィック

Environment


  • を含むすべてのプラットフォームVMファイアウォール
  • PAN-OS 9.1.14
  • http/2 トラフィック
  • SSL 復号化が有効
ノート:他のPAN-OSバージョンはいいえこの問題の影響を受ける

Cause


を使用してパケット キャプチャ フィルタを有効にすると、IP問題のサーバーのグローバル カウンターを実行すると、トラフィックが http2 であるかどうかを確認できるはずです。
以下に示すように、「Number of unsupported ssl ext in server hello」という警告カウンター メッセージも表示されるはずです。
> show counter global filter packet-filter yes delta yes

ssl_unsupported_server_extension           2        0 warn      ssl       pktproc   Number of unsupported ssl ext in server hello
http2_process                              1        0 info      http2     pktproc   Number of http2 connection process
http2_stream_session_alloc                 1        0 info      http2     pktproc   Number of http2 stream sessions allocated
もしあなたのfirewall同じ症状を示している場合は、ヒットしている可能性がありますPAN-194395

Resolution


回避策
  1. 復号化に添付されている復号化プロファイルを選択しますPolicy使用してGUI: オブジェクト > 復号化 > 復号化プロファイル > (使用するプロファイルを選択)
  2. 上でSSLフォワード プロキシタブ選択ストリップALPN.この設定により、firewall交渉するHTTP/1.1 の代わりにHTTP/2
復号化プロファイル
  1. 上記の回避策が適切でない場合は、PAN-OSバージョン 9.1.14 未満
修理:

現在、PAN-OSこの問題を解決するリリース バージョンはまだ保留中です。

Additional Information


PAN-189468次のリリース ノートの panos 9.1.14 の既知の問題に記載されています。
PAN-OS 9.1.14 既知の問題
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYkzCAE&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language