Назад | Перейти на главную страницу

Как настроить Squid SSL bump, чтобы брандмауэр Paloalto серии PA распознавал App-ID

Брандмауэр Paloalto (PA-2050, POS 4.1x) был способен распознавать веб-сайты, которые посещают пользователи (через http / https), затем отмечать их с помощью App-ID и применять управление приложениями к трафику, например, блокируя всю веб-почту / обмен файлами / социальные сети ... и т. д.

Но PA-2050 может распознавать трафик, посещающий веб-сайты с https, как «SSL» только после того, как мы настроим прокси-сервер Squid 3.4 с SSL перед брандмауэром. Это нарушает механизм управления приложениями брандмауэра PA.

Кто-нибудь знает, как настроить Squid 3.4 (или PA-2050), чтобы восстановить возможность управления приложениями на трафике https через прокси-сервер Squid?

Брандмауэр Palo Alto может быть настроен на использование политики расшифровки для проверки трафика после его прохождения через прокси-сервер Squid. Это позволит Пало-Альто увидеть расшифрованный трафик и снова назначить значимый App-ID. Видеть Как реализовать расшифровку SSL.