提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

解密不生效的可能原因和排查思路概述

|

问题描述

问题描述:客户反馈部署防火墙开启解密策略后,还是监控不到HTTPS的安全日志。

告警信息

可能原因:
1、攻击流量可能没有经过防火墙
2、安全防护策略没有针对目标服务器进行防护
3、导入服务器证书是否有效,配置解密的策略是否正确
4、防火墙是否开启了直通状态,或者对服务器地址或者攻击源地址有加入到白名单
5、设备安全策略里面的高级设置,对攻击行为添加了安全策略的白名单或者是列外处理
6、安全进程异常导致安全防护失效
7、截止8075,防火墙暂不支持TLS1.3的解密

有效排查步骤

服务器场景解密原理:
客户端先和af进行ssl握手(在客户端看来af是服务器),
握手成功后,af再发起和真实服务器的握手(在真实服务器看来af是客户端),
当握手成功后,af接受客户端发来的数据,并进行解密,将解密出来的明文数据送到waf等功能检测,要是发现是攻击的话,就阻断,否则转发给服务器。对于服务器发来的数据也做相同处理;
此流程中用到的程序是proxy.ko(负责检查连接是否匹配上了服务器策略,匹配上了的话,就将数据抓到应用层给ad_appd,ad_appd负责ssl握手,解密,检测等功能)

1、核实解密策略配置,确认证书导入情况。
2、检查设备是否有开启直通,或者服务器ip是否加入了白名单。
3、检查安全策略高级设置,是否有设置对应的安全排除策略。
4、查看设备系统故障日志,是否有代理相关故障日志生成。

解决方案

联系技术支持建议提供以下信息:
1、故障现象描述:
2、故障发生时间:
3、故障影响范围:
4、故障前做过的操作:
5、设备部署模式及网络拓扑:
6、设备版本信息:
新手115207 发表于 2023-8-30 09:12
  
学习到了,非常有用!!
新手901678 发表于 2023-9-27 09:30
  
内容较简单,建议楼主在分析时写更详细些;

我要分享
文档编号: 222453
作者: admin
更新时间: 2023-05-05 17:29
适用版本: