Palo alto防火墙网页解密问题？

请问各位大大，请教关于Palo alto 460 serious防火墙使用问题。目前防火墙的SSL Decryption使用自签凭证在进行SSL Decryption时(Outboard proxy, Inboard Inspection)方面，才能取得使用者的网页路径。但这会造成使用者浏览网页被通知该凭证不是合法的凭证的问题，需要列入排除的名单中。请问一定要使用付费的公钥凭证才能让网页正常浏览？

4 个回答

• 旧至新
• 新至旧
• 最高Like数

0

cmwang

iT邦大师 1 级 ‧ 2024-11-22 19:23:20

SSL本来就是用来防止这类事情的，不想让client 出现警告的话就要让client信任FW的凭证，一般是透过GPO做，您自己研究一下吧....

0

mytiny

iT邦超人 1 级 ‧ 2024-11-24 23:50:40

想要将SSL凭证解密以检核资安威胁的观念是对的

但是要注意网路流量的方向
出网的流量要嵌凭证到user端
入网访问的流量要将凭证塞入防火墙

现在太多防火墙只有路由器的功用
NGFW的功能几乎都没有了

0

runan5678

iT邦研究生 1 级 ‧ 2024-11-28 12:03:56

自签的根凭证要安装在每台电脑内，就不会出现凭证的告警讯息
一般是用AD环境去派送，少部分测试可以在Decryption的Policy中做设定
没有AD环境的情况下就是手动上，或是有其他的第三方软体可以协助处理

0

bluegrass

iT邦高手 1 级 ‧ 2024-12-02 09:33:49

付费的公钥凭证也不能让网页正常浏览, 重点是要安装防火墙的私发公钥

SSL INSPECTION 本质就是 MAN-IN-MIDDLE

由FIREWALL"代理"你去抓网页, 再由FIREWALL模仿成"该网页"去你请求

好了, 那你PC要怎样才相信有关的"模仿"呢, 因为CA会被改成由FIREWALL发出的

就是把防火墙的公钥放到你要INSPECTION的客户上

目前是行内唯一做法

好了, 那去买个私发公钥总可以了吧?

私发公钥一舨只会认可一个指定网域, 比如 *.abc.com

你可别想买个公钥CN是 * . * , 不会给你的. 放弃吧.