TechLeague

    Palo Alto

    Palo Alto SSL Decryption: forward proxy e inbound a fundo

    TechLeague Editorial··7 min de leitura

    Sem decryption o NGFW é quase cego. Bem feito, é transparente para o usuário e dá visibilidade L7 total.

    Forward proxy

    • Gere uma subordinada da PKI interna.
    • Distribua a CA para todos os endpoints (MDM, GPO).
    • Profile bloqueia ciphers fracos.

    Inbound

    • Use o cert e chave privada do servidor.
    • Bom para apps web publicados; ruim para SNI hosting.

    Exclusões

    • Banco, saúde, governo conforme lei local.
    • Use o cache de exclusão pré-definido.

    TLS 1.3

    • ESNI e ECH quebram bypass antigo.
    • Atualize PAN-OS e revise profiles.

    Performance

    • Decryption custa ~30–50% de throughput.
    • Dimensione bem ou distribua via Panorama.

    Treine troubleshooting de decryption em um TechLeague tournament.