TLS HTTP/2 将 panos 升级到 9.1.14 后网页未加载

TLS HTTP/2 将 panos 升级到 9.1.14 后网页未加载

4782
Created On 06/12/22 22:22 PM - Last Modified 04/24/24 18:36 PM


Symptom


  • Firewall 升级为PAN-OS9.1.14
  • TLS 如果流量被解密,网页将无法加载 http/2 流量
  • 没有发现问题TLS使用 http/1.1 的流量

Environment


  • 所有平台包括VM防火墙
  • PAN-OS 9.1.14
  • http/2 流量
  • SSL 已启用解密
笔记:其他PAN-OS版本是不是受此问题影响

Cause


如果您使用IP有问题的服务器并且你运行全局计数器你应该能够确认流量是否为http2
您还应该能够看到警告计数器消息“服务器问候中不受支持的 ssl ext 的数量”,如下所示
> show counter global filter packet-filter yes delta yes

ssl_unsupported_server_extension           2        0 warn      ssl       pktproc   Number of unsupported ssl ext in server hello
http2_process                              1        0 info      http2     pktproc   Number of http2 connection process
http2_stream_session_alloc                 1        0 info      http2     pktproc   Number of http2 stream sessions allocated
如果你的firewall表现出相同的症状,那么你很可能正在打PAN-194395

Resolution


解决方法
  1. 选择附加到解密的解密配置文件Policy使用GUI: Objects > Decryption > Decryption Profile >(选择使用的配置文件)
  2. SSL转发代理选项卡选择条ALPN.通过此设置,firewall谈判HTTP/1.1 而不是HTTP/2
解密配置文件
  1. 如果上述解决方法不合适,请降级PAN-OS版本低于 9.1.14
使固定:

目前的PAN-OS解决此问题的发布版本仍在等待中。

Additional Information


PAN-189468在以下发行说明中的 panos 9.1.14 已知问题下列出:
PAN-OS 9.1.14 已知问题
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000sYkzCAE&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language