Version 7.1

Copyright © 2007-2015 Palo Alto Networks

Contact Information
Corporate Headquarters:

Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054‐us

About this Guide
This guide takes you through the configuration and maintenance of your Palo Alto Networks next‐generation 
firewall. For additional information, refer to the following resources:

For information on how to configure other components in the Palo Alto Networks Next‐Generation Security 
Platform, go to the Technical Documentation portal: or 
search the documentation.

For access to the knowledge base and community forums, refer to

For contacting support, for information on support programs, to manage your account or devices, or to open a 
support case, refer to

For the most current PAN‐OS and Panorama 7.1 release notes, go to‐os/pan‐os‐release‐notes.html.

To provide feedback on the documentation, please write to us at:

Palo Alto Networks, Inc.
© 2016 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo Alto Networks. A list of our trademarks can be found 
at All other marks mentioned herein may be trademarks of their 
respective companies.
Revision Date: May 9, 2016

2 •  PAN‐OS 7.1 Administrator’s Guide

© Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Palo Alto Networks firewalls provide the capability to decrypt and inspect traffic for visibility, control, and 
granular security. Decryption on a Palo Alto Networks firewall includes the capability to enforce security 
policies on encrypted traffic, where otherwise the encrypted traffic might not be blocked and shaped 
according to your configured security settings. Use decryption on a firewall to prevent malicious content 
from entering your network or sensitive content from leaving your network concealed as encrypted traffic. 
Enabling decryption on a Palo Alto Networks firewall can include preparing the keys and certificates required 
for decryption, creating a decryption policy, and configuring decryption port mirroring. See the following 
topics to learn about and configure decryption:

Decryption Overview

Decryption Concepts

Define Traffic to Decrypt

Configure SSL Forward Proxy

Configure SSL Inbound Inspection

Configure SSH Proxy

Configure Decryption Exceptions

Enable Users to Opt Out of SSL Decryption

Configure Decryption Port Mirroring

Temporarily Disable SSL Decryption

© Palo Alto Networks, Inc.

PAN‐OS 7.1 Administrator’s Guide  •  485

Copyright © 2007-2015 Palo Alto Networks

 Traffic that has been encrypted using the protocols SSL and SSH can be  decrypted to ensure that these protocols are being used for the intended purposes only. all provide methods to specifically target and inspect SSL outbound traffic.  Ensure the appropriate applications are running on a secure network. for example. The firewall uses certificates and keys to decrypt the traffic  specified by the policy to plaintext. To learn more about storing and generating keys using an HSM and  integrating an HSM with your firewall. and control both  inbound and outbound SSL and SSH connections. respectively. SSL decryption (both forward proxy and inbound inspection) requires  certificates to establish trust between two entities in order to secure an SSL/TLS connection. and can be used to decrypt. inspect. and  SSH traffic. or URL category and in order to block or restrict the specified  traffic according to your security settings. and  File‐Blocking profiles. SSL Forward Proxy.  Palo Alto Networks firewall decryption is policy‐based. such as a web server and a client. and SSH  Proxy.Decryption Overview Decryption Decryption Overview Secure Sockets Layer (SSL) and Secure Shell (SSH) are encryption protocols used to secure traffic between  two entities. Certificates  can also be used when excluding servers from SSL decryption. the plaintext traffic is  re‐encrypted as it exits the firewall to ensure privacy and security. 486  •  PAN‐OS 7. .  Prevent sensitive corporate information from moving outside the corporate network. and then enforces App‐ID and security settings on the plaintext traffic. see Secure Keys with a Hardware Security Module. and failures.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks.  including Decryption. Use policy‐based decryption on the  firewall to:  Prevent malware concealed as encrypted traffic from being introduced into an corporate network. Antivirus. SSL inbound traffic. The three decryption policies offered on the firewall. encrypting data so that it is  meaningless to entities other than the client and server with the keys to decode the data and the certificates  to affirm trust between the devices. You can integrate a hardware security module  (HSM) with a firewall to enable enhanced security for the private keys used in SSL forward proxy and SSL  inbound inspection decryption. Vulnerability. such as checks for server certificates. source. WildFire Submissions. The decryption policies provide the settings for you to specify what traffic to  decrypt and you can attach a decryption profile to a policy rule to apply more granular security settings to  decrypted traffic. You can also choose to extend a decryption configuration on the firewall to include Decryption Mirroring. SSL Inbound Inspection. SSL and SSH encapsulate traffic. SSH decryption  does not require certificates. URL Filtering. After traffic is decrypted and inspected on the firewall.  which allows for decrypted traffic to be forwarded as plaintext to a third party solution for additional analysis  and archiving.  Palo Alto Networks firewalls decrypt encrypted traffic by using keys to transform strings (passwords and  shared secrets) from ciphertext to plaintext (decryption) and from plaintext back to ciphertext (re‐encrypting  traffic as it exits the firewall).  Selectively decrypt traffic. Anti‐Spyware. exclude traffic for financial or healthcare sites from decryption  by configuring a decryption exception. and not to conceal  unwanted activity or malicious content. This policy‐based  decryption on the firewall gives you visibility into and control of SSL and SSH encrypted traffic according to  configurable parameters. Certificates are used to establish the firewall as a trusted third party and to  create a secure connection. unsupported modes. Decryption policies allow you to specify traffic for  decryption according to destination. Inc.

509 certificates are used to establish trust between a client and a server in order to establish an SSL  connection. A client attempting to authenticate a server (or a server authenticating a client) knows the  structure of the X. If the firewall does not have the server  root CA certificate in its CTL. Keys are used to transform other strings—such as passwords and shared secrets— from plaintext to ciphertext (called encryption) and from ciphertext to plaintext (called decryption). Inc. Keys can  be symmetric (the same key is used to encrypt and decrypt) or asymmetric (one key is used for encryption  and a mathematically related key is used for decryption). or user to which the certificate was issued. the firewall must have the  server root CA certificate in its certificate trust list (CTL) and use the public key contained in that root CA  certificate to verify the signature.   To control the trusted CAs that your firewall trusts. see Certificate Management. After the CA verifies a client or server. the CA  issues the certificate and signs it with a private key.  With a decryption policy configured. All  certificates must be issued by a certificate authority (CA). such as its FQDN or IP address (called a common name or CN within  the certificate) or the name of the organization. The Forward Untrust certificate ensures that clients are prompted with a  certificate warning when attempting to access sites hosted by a server with untrusted certificates. the firewall will present a copy of the server certificate signed by the Forward  Untrust certificate to the client. PAN‐OS 7. use the Device > Certificate Management > Certificates > Default Trusted Certificate Authorities tab on the  firewall web interface. see  the following topics:  Keys and Certificates for Decryption Policies  SSL Forward Proxy  SSL Inbound Inspection  SSH Proxy  Decryption Exceptions  Decryption Mirroring Keys and Certificates for Decryption Policies Keys are strings of numbers that are typically generated using a mathematical operation involving random  numbers and large primes. a session between the client and the server is established only if the  firewall trusts the CA that signed the server certificate. You can also configure the firewall to use an  enterprise CA as a forward trust certificate for SSL Forward Proxy. The firewall then presents a copy of the server certificate signed by the  Forward Trust certificate for the client to authenticate. X.Decryption Decryption Concepts Decryption Concepts To learn about keys and certificates for decryption. For detailed information on certificates. Any system can generate a key. decryption policies. and decryption port mirroring.1 Administrator’s Guide  •  487 Copyright © 2007-2015 Palo Alto Networks .509 certificate and therefore knows how to extract identifying information about the  server from fields within the certificate.  © Palo Alto Networks. In order to establish trust. use different keys and certificates for each  usage. department. As a best practice. Table: Palo Alto Networks Firewall Keys and Certificates describes the different keys and certificates used  by Palo Alto Networks firewalls for decryption.

1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. the firewall resides between the internal client and outside server. The  firewall uses certificates to establish itself as a trusted third party to the session between the client and the  server (For details on certificates. The server returns a certificate intended for the client that is intercepted by the firewall. See Configure the Key Size  for SSL Forward Proxy Server Certificates. Figure: SSL Forward Proxy shows this process in detail. If the  server certificate is signed by a CA that the firewall trusts. The traffic is then  re‐encrypted on the firewall and the firewall forwards the encrypted traffic to the client. SSL Inbound Inspection The certificate used to decrypt inbound SSL traffic for inspection and policy  enforcement. However.  you can also set a specific key size for the firewall to use.  488  •  PAN‐OS 7. If the server  certificate is signed by a CA that the firewall does not trust. For example. Inc. the firewall creates a copy of the server certificate  signs it with the firewall Forward Trust certificate and sends the certificate to the client. see Store Private Keys on an HSM. SSL Forward Proxy Use an SSL Forward Proxy decryption policy to decrypt and inspect SSL/TLS traffic from internal users to  the web. With SSL Forward Proxy decryption. SSL Forward Proxy decryption prevents malware concealed as SSL encrypted traffic from being  introduced to your corporate network.Decryption Concepts Decryption Table: Palo Alto Networks Firewall Keys and Certificates Key/Certificate Usage Description Forward Trust The certificate the firewall presents to clients during decryption if the site the client  is attempting to connect to has a certificate that is signed by a CA that the firewall  trusts. By default. the client sees  a block page warning that the site they’re attempting to connect to is not trusted and the client can choose  to proceed or terminate the session. SSL Exclude Certificate Certificates for servers that you want to exclude from SSL decryption. .  As the firewall continues to receive SSL traffic from the server that is destined for the client. you would import the server certificate for the  servers for which you are performing SSL inbound inspection. the firewall determines the key size to  use for the client certificate based on the key size of the destination server. When the client initiates  an SSL session with the server. the firewall intercepts the client SSL request and forwards the SSL request  to the server. see Step 4  in the Configure SSL Forward Proxy task. store the forward trust  certificate on a Hardware Security Module (HSM). See Exclude a Server from Decryption. When the client authenticates the certificate.  if you have SSL decryption enabled. For added security. the SSL session is  established with the firewall functioning as a trusted forward proxy to the site that the client is accessing. such as the web services for your HR systems. you would  import the corresponding certificates onto the firewall and configure them as SSL  Exclude Certificates. or store them on an  HSM (see Store Private Keys on an HSM). In this case. To configure a Forward Untrust certificate on the firewall. but have certain servers that you do not want  included in SSL decryption. signs it with the Forward Untrust certificate and sends it to the client. it decrypts the  SSL traffic into clear text traffic and applies decryption and security profiles to the traffic.  Forward Untrust The certificate the firewall presents to clients during decryption if the site the client  is attempting to connect to has a certificate that is signed by a CA that the firewall  does not trust. the firewall creates a copy of the server  certificate. see Step 2 in the  Configure SSL Forward Proxy task. For this application. To configure a Forward Trust certificate on the firewall. see Keys and Certificates for Decryption Policies).

 Inc. SSL Inbound Inspection Use SSL Inbound Inspection to decrypt and inspect inbound SSL traffic from a client to a targeted server (any  server you have the certificate for and can import it onto the firewall). rather  than functioning as a proxy.  Configuring SSL Inbound Inspection includes importing the targeted server certificate and key on to the  firewall.  Figure: SSL Inbound Inspection shows this process in detail. The firewall is able to apply security policies to the decrypted traffic. Because the targeted server certificate and key are imported on the firewall.  © Palo Alto Networks. detecting  malicious content and controlling applications running over this secure channel. For example. PAN‐OS 7. if an employee is  remotely connected to a web server hosted on the company network and is attempting to add restricted  internal documents to his Dropbox folder (which uses SSL for data transmission). the firewall is able to  access the SSL session between the server and the client and decrypt and inspect traffic transparently.Decryption Decryption Concepts Figure: SSL Forward Proxy See Configure SSL Forward Proxy for details on configuring SSL Forward Proxy. SSL Inbound Inspection can  be used to ensure that the sensitive data does not move outside the secure company network by blocking  or restricting the session.1 Administrator’s Guide  •  489 Copyright © 2007-2015 Palo Alto Networks .

 As traffic flows between the client and the server. a key is generated. establishing an SSH  tunnel between the firewall and the client and an SSH tunnel between the firewall and the server. the SSH tunneled traffic is blocked and restricted according to configured security policies. The same key is also used for decrypting all SSH v2 sessions. During the boot up process. the firewall resides between a client and a server. When the client sends an  SSH request to the server. 490  •  PAN‐OS 7. the firewall checks to see  if there is an existing key.  Content and threat inspections are not performed on SSH tunnels.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. This key is used for decrypting SSH sessions for all virtual  systems configured on the firewall. Figure: SSH Proxy Decryption shows this process in detail. Inc. the firewall intercepts the request and forwards the SSH request to the server. SSH Proxy SSH Proxy provides the capability for the firewall to decrypt inbound and outbound SSH connections  passing through the firewall. in order to ensure that SSH is not being used to tunnel unwanted applications  and content. . if SSH tunnels are identified by  the firewall. however. the firewall is able to  distinguish whether the SSH traffic is being routed normally or if it is using SSH tunneling (port forwarding).  In an SSH Proxy configuration. SSH decryption does not require any certificates and the key used for SSH decryption is  automatically generated when the firewall boots up. with  firewall functioning as a proxy. If not.Decryption Concepts Decryption Figure: SSL Inbound Inspection See Configure SSL Inbound Inspection for details on configuring SSL Inbound Inspection.  The firewall then intercepts the server response and forwards the response to the client.

 service (port or protocol). URL categories. and TCP  port numbers. destination. Inc. see  List of Applications Excluded from SSL Decryption.  You can also Configure Decryption Exceptions to exclude applications.Decryption Decryption Concepts Figure: SSH Proxy Decryption See Configure SSH Proxy for details on configuring an SSH Proxy policy. with SSL decryption enabled. URL category. Exclude server traffic from SSL decryption based on the Common Name (CN) in the server certificate. and targeted server  traffic from decryption:   Exclude certain URL categories or applications that either do not work properly with decryption enabled  or for any other reason. For a current list of applications the firewall excludes from SSL decryption by default. exclude those servers from decryption by  importing the server certificate onto the firewall and modifying the certificate to be an SSL Exclude Certificate. Decryption Exceptions Applications that do not function properly when the firewall decrypts them are automatically excluded from  SSL decryption.1 Administrator’s Guide  •  491 Copyright © 2007-2015 Palo Alto Networks . PAN‐OS 7. such as the web services for your HR systems. For  example. you can choose URL categories to exclude  traffic that is categorized as financial or health‐related from decryption. if you have SSL decryption enabled but have certain servers for which you do not want to  decrypt traffic. including for legal or privacy purposes. For example. © Palo Alto Networks. You can use a decryption policy to exclude  traffic from decryption based on source.

 inspection. Inc.  Keep in mind that the decryption.Decryption Concepts Decryption Decryption Mirroring The decryption mirroring feature provides the capability to create a copy of decrypted traffic from a firewall  and send it to a traffic collection tool that is capable of receiving raw packet captures–such as NetWitness  or Solera–for archiving and analysis. .  passwords. Decryption  mirroring is available on PA‐7000 Series. use  of this feature could enable malicious users with administrative access to the firewall to harvest usernames. storage. Palo Alto Networks recommends that you consult with your corporate council before  activating and using this feature in a production environment. credit card numbers. and/or use of SSL traffic is governed in certain  countries and user consent might be required in order to use the decryption mirror feature. social security numbers. Additionally. or other sensitive information submitted using an  encrypted channel. Figure: Decryption Port Mirroring shows the process for mirroring decrypted traffic and the section  Configure Decryption Port Mirroring describes how to license and enable this feature. PA‐5000 Series and PA‐3000 Series platforms only and requires  that a free license be installed to enable this feature. Figure: Decryption Port Mirroring 492  •  PAN‐OS 7. This feature is necessary for organizations that require comprehensive  data capture for forensic and historical purposes or data leak prevention (DLP) functionality.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks.

Block sessions based on certificate status. Palo Alto Networks firewalls include a default decryption profile that you can use to enforce the basic  recommended protocol versions and cipher suites for decrypted traffic.  has extensions restricting the certificate use. has an unknown certificate status. Add or modify a decryption profile rule. PAN‐OS 7. and give the rule a descriptive  Name.Decryption Define Traffic to Decrypt Define Traffic to Decrypt A decryption policy rule allows you to define traffic that you want the firewall to decrypt. is signed by an untrusted CA. you can attach it to a decryption policy rule. Create a decryption profile to:    Block sessions using unsupported protocols. Step 3 (Decryption Mirroring Only) To Configure Decryption Port Mirroring. Inc.1 Administrator’s Guide  •  493 Copyright © 2007-2015 Palo Alto Networks . enable an Ethernet Interface for the  firewall to use to copy and forward decrypted traffic. cipher suits. After you create a decryption profile. Configure a Decryption Profile Rule Step 1 Select Objects > Decryption Profile. or sessions that require client authentication. You can attach a decryption profile rule to a  decryption policy rule to more granularly control matching traffic. the firewall then enforces  the decryption profile settings on traffic matched to the decryption policy rule. © Palo Alto Networks. Block sessions if the resources to perform decryption are not available or if a hardware security module  is not available to sign certificates.  Create a Decryption Profile  Create a Decryption Policy Rule Create a Decryption Profile A decryption profile allows you to perform checks on both decrypted traffic and traffic that you have  excluded from decryption. where the certificate is expired. Decryption mirroring requires a decryption port mirror license. or to define traffic  that you want the firewall to exclude from decryption. Step 2 (Optional) Allow the profile rule to be Shared across every virtual system on a firewall or every Panorama  device group. or the certificate status  can’t be retrieved during a configured timeout period.

•  Select SSL Protocol Settings to configure minimum and  maximum protocol versions and key exchange. and  perform failure checks on SSL decrypted traffic. Inc. 494  •  PAN‐OS 7. .1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. Click OK. decryption policy rule. a URL category) for which you  for traffic that is excluded from decryption. These settings  are active only when this profile is attached to a decryption  policy rule that is set to perform SSL Forward Proxy decryption. SSL Inbound  Inspection. Select Options and select a Decryption Profile to block and  control various aspects of the traffic matched to the rule. This allows you to use the default  decryption profile.Define Traffic to Decrypt Decryption Configure a Decryption Profile Rule (Continued) Select SSL Decryption: •  Select SSL Forward Proxy to configure settings to verify  certificates. and  authentication algorithms to enforce for SSL traffic. enforce protocol versions and cipher suites. Step 4 (Optional) Block and control SSL  tunneled and/or inbound traffic  undergoing SSL Forward Proxy  decryption or SSL Inbound Inspection. Step 5 (Optional) Block and control traffic (for  Select No Decryption and configure settings to validate certificates  example. protocol versions and  These settings are active only when the decryption profile is  attached to a decryption policy rule that decrypts SSH traffic. Commit the configuration. Step 6 (Optional) Block and control SSH traffic  Select SSH Proxy and configure settings to enforce supported  undergoing SSH Proxy decryption. enforced based on the additional profile  rule settings.  have disabled decryption. or SSH Proxy). •  Select SSL Inbound Inspection to configure settings enforce  protocol versions and cipher suites and to perform failure  checks on inbound SSL traffic. with different types of decryption policy  rules. The profile rule settings that are applied to matching traffic  depend on the policy rule Action (Decrypt or No Decrypt) and  the policy rule Type (SSL Forward Proxy. Step 7 Add the decryption profile rule to a  1. standard decryption profile customized for  your organization. encryption. These settings are active only  when this profile is attached to a decryption policy rule that is  set to perform SSL Inbound Inspection. 3. These setting are active only when the decryption profile is  attached to a decryption policy rule that disables decryption for  certain traffic. Step 8 Select Policies > Decryption and Create a Decryption Policy  Rule or modify an existing rule. These  settings are active when this profile is attached to decryption  policy rules that are set to perform either SSL Forward Proxy  decryption or SSL Inbound Inspection. Traffic that the policy rules matches to is  2.

Set the Type of decryption for the firewall to perform on  matching traffic: •  SSL Forward Proxy •  SSH Proxy •  SSL Inbound Inspection. while continuing to decrypt the same  applications when they are detected on non‐standard ports • URLs and URL categories—Select Service/URL Category and decrypt traffic based on: •  An externally‐hosted list of URLs that the firewall retrieves for policy‐enforcement (see Objects > External Dynamic Lists). or decrypt traffic for certain types of users.1 Administrator’s Guide  •  495 Copyright © 2007-2015 Palo Alto Networks . address objects. or you  could exclude financial or healthcare‐related sites from decryption based on the Palo Alto Networks  URL categories. 2. Configure a Decryption Policy Rule Step 1 Select Policies > Decryption and Add a new decryption policy rule. and optionally set the rule to application-default to match to applications only on the  application default ports. If you want to enable SSL Inbound  Inspection. such as unknown users or pre‐logon users  (users that are connected to GlobalProtect but are not yet logged in). Select Decrypt . • IP addresses. Exclude matching traffic from decryption: Select No Decrypt. you could create a custom URL category to group sites that you do not want to decrypt. Inc. select Objects > Decryption Profile). For  example. The application‐default setting is useful to Configure Decryption Exceptions. matching traffic from decryption. Step 3 Configure the decryption rule to match to traffic based on network and policy objects: • Firewall security zones—Select Source and/or Destination and match to traffic based on the Source Zone  and/or the Destination Zone. © Palo Alto Networks. and/or address groups—Select Source and/or Destination to match to traffic  based on Source Address and/or the Destination Address. You can  also use a decryption policy rule to define Decryption Exceptions. (To Create a  Decryption Profile. By  default.Decryption Define Traffic to Decrypt Create a Decryption Policy Rule Create a decryption policy rule to define traffic for the firewall to decrypt and the type of decryption you  want the firewall to perform: SSL Forward Proxy. You can Add a service or a  service group. Step 2 Give the policy rule a descriptive Name. or SSH Proxy decryption. the policy rule is set to decrypt Any traffic on TCP and UDP ports. Alternatively. also select the Certificate for the destination  internal server for the inbound SSL traffic.  Step 4 Set the action the policy rule enforces on  Select Options and set the policy rule Action: matching traffic: the rule can either  Decrypt matching traffic: decrypt matching traffic or exclude  1. PAN‐OS 7. Step 5 (Optional) Select a Decryption Profile to apply the profile settings to decrypted traffic.  • Users—Select Source and set the Source User for whom to decrypt traffic. •  Custom URL categories (see Objects > Custom Objects > URL Category). You can exclude  applications running on their default ports from decryption. •  Palo Alto Networks URL categories. You can decrypt specific user  or group traffic. SSL Inbound Inspection. select Negate to exclude the  source address list from decryption. This option is useful to Configure Decryption Exceptions. • Ports and protocols—Select Service/URL Category to set the rule to match to traffic based on service.

 Inc.. . Next Steps. Fully enable the firewall to decrypt traffic: •  Configure SSL Forward Proxy •  Configure SSL Inbound Inspection •  Configure SSH Proxy •  Configure Decryption Exceptions 496  •  PAN‐OS 7..1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks.Define Traffic to Decrypt Decryption Configure a Decryption Policy Rule Step 6 Click OK to save the policy.

 add a decryption policy rule to define the traffic you want the firewall to decrypt. The firewall  can use self‐signed certificates or certificates signed by an enterprise certificate authority (CA) as forward  trust certificates to authenticate the SSL session with the client.  Self‐signed Certificates When a client connects to a server with a certificate that is signed by a CA that the firewall trusts.1 Administrator’s Guide  •  497 Copyright © 2007-2015 Palo Alto Networks . The Interface Type column displays if an interface is configured  to be a Virtual Wire or Layer 2.  Layer 2. View configured interfaces on the Network > Interfaces > Ethernet tab. Additionally. or Layer 3 interfaces. Inc. the  firewall can sign a copy of the server certificate to present to the client and establish the SSL session. The clear text traffic is blocked  and restricted based on the decryption profile attached to the policy and the firewall security policy. set up a forward untrust certificate for the firewall to present to clients when the server  certificate is signed by a CA that the firewall does not trust. PAN‐OS 7. © Palo Alto Networks. SSL tunneled  traffic matched to the decryption policy rule is decrypted to clear text traffic. you must set up the certificates required  to establish the firewall as a trusted third party to the session between the client and the server.    (Recommended) Enterprise CA‐signed Certificates An enterprise CA can issue a signing certificate which the firewall can use to sign the certificates for sites  requiring SSL decryption. including what type of  interface it is. You  can use self‐signed certificates for SSL Forward Proxy decryption if your organization does not have an  enterprise CA or if you intend to only perform decryption for a limited number of clients. When the firewall trusts the CA that signed the certificate of the destination  server. This ensures that clients are prompted with a  certificate warning when attempting to access sites with untrusted certificates. or Layer 3 interface. Configure SSL Forward Proxy   Step 1 Ensure that the appropriate interfaces  are configured as either virtual wire. the firewall can then send a copy of the destination server certificate to the client signed by the  enterprise CA. After setting up the forward trust and forward untrust certificates required for SSL Forward Proxy  decryption.Decryption Configure SSL Forward Proxy Configure SSL Forward Proxy  To enable the firewall to perform SSL Forward Proxy decryption. • Use a self‐signed certificate as the forward trust certificate. Step 2 Configure the forward trust certificate for the firewall to present to clients when the server certificate is signed  by a trusted CA: • (Recommended) Use an enterprise CA‐signed certificate as the forward trust certificate. You can select  an interface to modify its configuration. Traffic  is re‐encrypted as it exits the firewall.

b. 4.  Select Device > Certificate Management > Certificates and  click Generate.  Select the signed Certificate File that you received from  your enterprise CA.  Select Device > Certificate Management > Certificates and  click Import.  Select the pending certificate displayed on the Device Certificates tab. b. 3. c. my‐fwd‐proxy.  Enter the pending Certificate Name exactly (in this case. Import the enterprise CA‐signed certificate onto the firewall: a.  Click OK. The certificate is displayed as valid with the Key  and CA check boxes selected. such as my‐fwd‐proxy.  In the Signed By drop‐down. Leave Export private key unselected in order to ensure  that the private key remains securely on the firewall.  Click OK.  Click Export to download and save the certificate file.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. Generate a Certificate Signing Request (CSR) for the enterprise  CA to sign and validate: a. e. The Certificate Name that you enter must  exactly match the pending certificate name in order for the  pending certificate to be validated. b.Configure SSL Forward Proxy Decryption Configure SSL Forward Proxy (Continued)  • (Recommended) Use an enterprise  CA‐signed certificate as the forward  trust certificate.  (Optional) If your enterprise CA requires it. Inc.  Enter a Certificate Name. The pending certificate is now  displayed on the Device Certificates tab. Export the CSR: a. 498  •  PAN‐OS 7. save the enterprise CA‐signed certificate for  import onto the firewall. d.  my‐fwd‐trust). to  enable it as a Forward Trust Certificate to be used for SSL  Forward Proxy decryption. d. Provide the certificate file to your enterprise CA. c. 1. c.  Click OK to save the CSR. 5. 2. add Certificate Attributes to further identify the firewall details. Click OK to save the enterprise CA‐signed forward trust  certificate. in this case. select External Authority (CSR). . 6. When you  receive the enterprise CA‐signed certificate from your  enterprise CA. such as  Country or Department. Select the validated certificate.

 Selecting this check box  creates a certificate authority (CA) on the firewall that is  imported to the client browsers.168.2. On a firewall configured as a GlobalProtect portal: This option is supported with Windows and Mac client OS  versions. 1.  5. d. we are using the IP of the trust interface. and requires GlobalProtect agent 3. In this  case. and the client  systems already have the  enterprise CA added to the local  trusted root CA list. the default import location is the Personal  certificate store. b. You can also simplify this process by using a  centralized deployment.  Leave the Signed By field blank. Step 3 Distribute the forward trust certificate to  client system certificate stores. Avoid using  spaces in this field. 1. Add the SSL Forward Proxy forward trust certificate to the  Trusted Root CA section. Choose PEM format. such as 192.  Select Device > Certificate Management > Certificates. – If you are using an  enterprise‐CA signed certificate  as the forward trust certificate  for SSL Forward Proxy  decryption. When  importing to the client browser. 3.  2. such as an Active Directory Group Policy  Object (GPO). and do not select the Export private key option. Install in Local Root Certificate Store so that the  GlobalProtect portal automatically distributes the certificate  and installs it in the certificate store on GlobalProtect client  systems.Decryption Configure SSL Forward Proxy Configure SSL Forward Proxy (Continued)  • Use a self‐signed certificate as the  forward trust certificate.1. import it into the browser trusted root CA list  on the client systems in order for the clients to trust it. This should be  the IP or FQDN that will appear in the certificate.  c. © Palo Alto Networks.  Enter a Certificate Name. Click OK twice. 3. users will see certificate  warnings for each SSL site they  visit. such as my‐fwd‐trust.  Click Generate at the bottom of the window. e. Select Agent and then select an existing agent configuration or  Add a new one.  Enter a Common Name. f. Click the new certificate my‐fwd‐trust to modify it and enable  the certificate to be a Forward Trust Certificate. Click OK to save the self‐signed forward trust certificate. – If you do not install the forward  trust certificate on client  systems. Select Network > GlobalProtect > Portals and then select an  existing portal configuration or Add a new one.  4.0. On  Windows systems. so clients trust the firewall  as a CA. you can skip  this step. Without GlobalProtect: Export the forward trust certificate for import into client systems  by highlighting the certificate and clicking Export at the bottom of  the window. ensure the certificate is added to  the Trusted Root Certification Authorities certificate store. g.  Generate the certificate.1 Administrator’s Guide  •  499 Copyright © 2007-2015 Palo Alto Networks .  Click the Certificate Authority check box to enable the  firewall to issue the certificate. PAN‐OS 7.0 or later to  be installed on the client systems. 2. Inc. Generate a new certificate: a.

500  •  PAN‐OS 7. 3. Configure the Key Size for SSL Forward Proxy Server Certificates. Click Generate at the bottom of the certificates page. such as my‐fwd‐untrust. 2. Select Policies > Decryption.1. •  (Optional) Select a Decryption Profile to block and control  various aspects of the decrypted traffic (for example. and select Allow Forwarding of Decrypted Content. Click OK to save. This option requires an active  WildFire license. Select Device > Setup > Content-ID. Click the Certificate Authority check box to enable the firewall  to issue the certificate. •  Set the rule Type to SSL Forward Proxy. Get started with  WildFire to decide what WildFire  deployment works for you and to  enable file forwarding and  signature protection. 2. 2. 8. Create  a Decryption Profile to perform certificate checks and  enforce strong cipher suites and protocol versions).  the firewall determines the key size to  use based on the key size of the  destination server certificate. By default. Edit the URL Filtering options to Allow Forwarding of Decrypted Content. 6. Add or modify an existing rule.2. Step 5 (Optional) Set the key size of the SSL  Forward Proxy certificates that the  firewall presents to clients.  and define traffic to be decrypted. Select Device > Virtual Systems. traffic for the firewall to decrypt. 2. Leave  Signed By blank. Inc. for example 192. 4. 3. On a single firewall: 1.168. 5. Set the Common Name. the users will  not see certificate warnings for SSL sites with  untrusted certificates. On a firewall with virtual systems configured: 1. Click OK to save.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. . If the forward trust  certificate is imported on client systems. Click OK. Commit the configuration. Click OK to save. Select Options and: •  Set the rule Action to Decrypt matching traffic.  3. Click Generate to generate the certificate. Enter a Certificate Name.  7. 3. Step 6 Create a Decryption Policy Rule to define  1. 1. Click the new my‐ssl‐fw‐untrust certificate to modify it and  enable the Forward Untrust Certificate option. Click the virtual system you want to modify. Step 7 Step 8 (Optional) Allow the firewall to forward  decrypted traffic for WildFire analysis.Configure SSL Forward Proxy Decryption Configure SSL Forward Proxy (Continued)  Step 4 Configure the forward untrust  certificate. Do not export the forward untrust certificate for  import into client systems. Click OK.

•  Configure Decryption Exceptions to disable decryption for  certain types of traffic.Decryption Configure SSL Forward Proxy Configure SSL Forward Proxy (Continued)  Next Steps. Inc. •  Enable Users to Opt Out of SSL Decryption. © Palo Alto Networks. PAN‐OS 7...1 Administrator’s Guide  •  501 Copyright © 2007-2015 Palo Alto Networks .

Select Options and: •  Set the rule Action to Decrypt matching traffic. With an SSL Inbound  Inspection decryption policy enabled. The clear text traffic is blocked and restricted based on the decryption profile attached to the  policy and any configured Antivirus. Create a Decryption Policy Rule to define  1. or Layer 3 interface.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. Configuring SSL Inbound Inspection includes installing the targeted server certificate on the firewall and  creating an SSL Inbound Inspection decryption policy. Anti‐Spyware. Browse for and select the targeted server Certificate File. Click OK. 502  •  PAN‐OS 7.  3. Configure SSL Inbound Inspection Step 1 Ensure that the appropriate interfaces  are configured as either virtual wire. including what type of  interface it is. •  (Optional) Select a Decryption Profile to block and control  various aspects of the decrypted traffic (for example. 2. URL‐Filtering and File Blocking profiles. •  Set the rule Type to SSL Inbound Inspection.  and define traffic to be decrypted. select Import.  Layer 2. View configured interfaces on the Network > Interfaces > Ethernet tab. Enter a descriptive Certificate Name. Step 2 Ensure that the targeted server  certificate is installed on the firewall.  You can also enable the firewall to forward decrypted. traffic for the firewall to decrypt. unknown files for WildFire analysis and signature  generation. 3. Vulnerability. On the web interface. all SSL traffic identified by the policy is decrypted to clear text traffic  and inspected. Click OK to save. The Interface Type column displays if an interface is configured  to be a Virtual Wire or Layer 2. Inc. To import the targeted server certificate onto the firewall: Step 3 1. or Layer 3 interfaces. 4. select Device > Certificate Management > Certificates > Device Certificates to view certificates installed on  the firewall. Traffic is re‐encrypted as it exits the firewall. Select Policies > Decryption. 2. Add or modify an existing rule.Configure SSL Inbound Inspection Decryption Configure SSL Inbound Inspection  Use SSL Inbound Inspection to decrypt and inspect inbound SSL traffic destined for a network server (you  can perform SSL Inbound Inspection for any server if you have the server certificate). On the Device Certificates tab. Create  a Decryption Profile to terminate sessions if system  resources are not available to process decryption). . You can select  an interface to modify its configuration. •  Select the Certificate for the internal server that is the  destination of the inbound SSL traffic.

 Inc. •  Configure Decryption Exceptions to disable decryption for  certain types of traffic. Get started with  WildFire to decide what WildFire  deployment works for you and to  enable file forwarding and  signature protection. 2. On a single firewall: 1. On a firewall with virtual systems configured: 1. PAN‐OS 7. 3. Click the virtual system you want to modify. © Palo Alto Networks. 2.. Next Steps. Select Device > Virtual Systems. Edit the URL Filtering options to Allow Forwarding of Decrypted Content.1 Administrator’s Guide  •  503 Copyright © 2007-2015 Palo Alto Networks . Select Device > Setup > Content-ID. This option requires an active  WildFire license. Click OK. 3.Decryption Configure SSL Inbound Inspection Configure SSL Inbound Inspection Step 4 Step 5 (Optional) Allow the firewall to forward  decrypted traffic for WildFire analysis. and select Allow Forwarding of Decrypted Content.. Commit the configuration. Click OK. •  Enable Users to Opt Out of SSL Decryption.

 or Layer 3 interfaces. Commit the configuration. Next Step. Click OK to save. 504  •  PAN‐OS 7. You can select  an interface to modify its configuration.  Layer 2. or Layer 3  interfaces. •  Set the rule Type to SSH Proxy.  With SSH decryption enabled. Click OK. Edit the URL Filtering options to Allow Forwarding of Decrypted Content. On a firewall with virtual systems configured: 1. Select Options and: •  Set the rule Action to Decrypt matching traffic. Step 3 Step 4 (Optional) Allow the firewall to forward  decrypted traffic for WildFire analysis. Click OK. View configured interfaces on the Network > Interfaces > Ethernet tab. The Interface Type column displays if an interface is configured  to be a Virtual Wire or Layer 2. On a single firewall: 1. •  (Optional) Select a Decryption Profile to block and control  various aspects of the decrypted traffic (for example. or Layer 3 interface. 3. Inc.  3.  and define traffic to be decrypted. 2. 2. Select Device > Virtual Systems. Configure Decryption Exceptions to disable decryption for certain  types of traffic.  Decryption can only be performed on  virtual wire. all SSH traffic identified by the policy is decrypted and identified as either  regular SSH traffic or as SSH tunneled traffic. Create  a Decryption Profile to terminate sessions if system  resources are not available to process decryption).. Select Device > Setup > Content-ID.. Get started with  WildFire to decide what WildFire  deployment works for you and to  enable file forwarding and  signature protection. 3. Layer 2. Traffic is re‐encrypted as it exits the firewall. traffic for the firewall to decrypt. Step 2 Create a Decryption Policy Rule to define  1. Select Policies > Decryption.Configure SSH Proxy Decryption Configure SSH Proxy Configuring SSH Proxy does not require certificates and the key used to decrypt SSH sessions is generated  automatically on the firewall during boot up. 2. This option requires an active  WildFire license. Add or modify an existing rule. SSH tunneled traffic is blocked and restricted according to the  profiles configured on the firewall. Click the virtual system you want to modify. Configure SSH Proxy Decryption Step 1 Ensure that the appropriate interfaces  are configured as either virtual wire.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. including what type of  interface it is. and select Allow Forwarding of Decrypted Content. .

 Attach a  decryption profile to the rule that is set to Block sessions with expired certificates and/or Block sessions with untrusted issuers. In this example: a. Select Options and set the rule to No Decrypt. create a decryption policy rule and set the policy action to No Decrypt.1 Administrator’s Guide  •  505 Copyright © 2007-2015 Palo Alto Networks . such as  No‐Decrypt‐Finance‐Health. (Optional) You can still use a decryption profile to validate  certificates for sessions the firewall does not decrypt. © Palo Alto Networks. and  service (ports and protocols). See the following topics  to configure Decryption Exceptions:  Exclude Traffic from Decryption  Exclude a Server from Decryption Exclude Traffic from Decryption To exclude traffic from decryption. Click OK to save the No‐Decrypt‐Finance‐Health decryption  rule. Select Policies > Decryption and modify or Create a Decryption Policy rule.  even if the traffic is later matched to  other decryption rules. You can also exclude a specific server from decryption. b. 1. URL category. source. 4.  Select URL Category and Add the URL categories  financial‐services and health‐and‐medicine. 5. PAN‐OS 7.  Exclude traffic from decryption based on application. Inc. 2. c. 3. This example shows how to exclude  traffic categorized as financial or  health‐related from SSL Forward Proxy  decryption. and service (ports  and protocols). destination. Decryption rules are enforced against  incoming traffic in sequence and the first  rule to match to traffic is enforced— moving the No Decrypt rule to the top of  the rule list ensures that the traffic  matched to the rule remains encrypted. destination. make sure that a  decryption exclusion rule is listed first in your decryption policy.  Exclude Traffic from a Decryption Policy Step 1 Step 2 Exclude traffic from decryption based  match criteria. Define the traffic that you want to exclude from decryption. Place the decryption exclusion rule at the  On the Decryption > Policies page.  Give the rule a descriptive Name. URL category. Because policy rules are compared against incoming traffic in sequence. and click Move Up until it appears at  top of your decryption policy. select the policy  No‐Decrypt‐Finance‐Health.Decryption Configure Decryption Exceptions Configure Decryption Exceptions You can purposefully exclude traffic from decryption based on source.  Set the Source and Destination to Any to apply the  No‐Decrypt‐Finance‐Health rule to all SSL traffic destined  for an external server. the top of the list (or you can drag and drop the rule).

 select Import. 3. Inc. the firewall does not decrypt  the server traffic even if the traffic matches decryption policy rule. if you have SSL decryption enabled.  Browse for and select the targeted server Certificate File. . When the targeted server certificate is designated as an SSL Exclude Certificate. Exclude a Server from Decryption You can exclude server traffic from SSL decryption based on the common name (CN) in the server certificate.  Exclude a Server from Decryption Step 1 Import the targeted server certificate onto the firewall: 1.  On the Device > Certificate Management > Certificates > Device Certificates tab. Step 2 Select the targeted server certificate on the Device Certificates tab and enable it to be an SSL Exclude Certificate. 2.Configure Decryption Exceptions Decryption Exclude Traffic from a Decryption Policy Step 3 Commit the configuration.  For example. you could configure a decryption exception for the server  on your corporate network that hosts the web services for your HR systems. 4.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. 506  •  PAN‐OS 7.  Enter a descriptive Certificate Name.  Click OK.

 Inc. With SSL Opt Out enabled. 1.Decryption Enable Users to Opt Out of SSL Decryption Enable Users to Opt Out of SSL Decryption In some cases. select Device > Response Pages. Make sure that the  page retains its UTF‐8 encoding. 3. the firewall  redisplays the response page the next time the users attempt to access an HTTPS site. 8. For example: <img src="http://cdn. you might need to alert your users to the fact that the firewall is decrypting certain web traffic  and allow them to terminate sessions that they do not want inspected. edit the page. You can optionally  customize the page with your own text and/or images. Using the HTML text editor of your choice.  6. Click Import and then enter the path and filename in the  Import File field or Browse to locate the file. Back on the firewall. Select the SSL Decryption Opt-out Page link. after  which the firewall redisplays the response page.  The choice to allow decryption applies to all HTTPS sites that users try to access for the next 24 hours. 13. PAN‐OS 7. Select Device > Response Pages. The firewall includes a predefined SSL Decryption Opt‐out Page that you can enable. If you want to add an image. (Optional) Select the virtual system on which this login page  will be used from the Destination drop‐down or select shared  to make it available to all virtual systems. click the Disabled link. Select the Enable SSL Opt-out Page and click OK. Select the response page you just imported and click Close.  5. Step 2 Enable SSL Decryption Opt Out. 4. Select the Predefined page and click Export. or any other HTTPS site. After the minute elapses. 12. the first  time a user attempts to browse to an HTTPS site or application that matches your decryption policy. for the next minute. Acme-logo-96x96. the  firewall displays a response page notifying the user that it will decrypt the session.1 Administrator’s Guide  •  507 Copyright © 2007-2015 Palo Alto Networks .  3.  1. Select the SSL Decryption Opt-out Page link. 11. 2.slidesharecdn.  Enable Users to Opt Out of SSL Decryption Step 1 (Optional) Customize the SSL  Decryption Opt‐out Page. Commit the changes. Save the edited page with a new filename. Click OK to import the file. On the Device > Response Pages page. © Palo Alto Networks. 10.  2. host the image on a web server  that is accessible from your end user systems. Users can either click Yes  to allow decryption and continue to the site or click No to opt out of decryption and terminate the session. Users who opt out of SSL decryption cannot access the  requested web page.jpg?1382722588"/> 7. Add a line to the HTML to point to the image.

508  •  PAN‐OS 7. From a browser. Verify that the SSL Decryption Opt‐out response page displays. .Enable Users to Opt Out of SSL Decryption Decryption Enable Users to Opt Out of SSL Decryption Step 3 Verify that the Opt Out page displays  when you attempt to browse to a site. go to an encrypted site that matches your  decryption policy.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. Inc.

From the firewall web interface.  1. Verify that the license has been activated on the firewall. 2. 2.1 Administrator’s Guide  •  509 Copyright © 2007-2015 Palo Alto Networks . 5. on the firewall. If you are clear about the potential legal implications and  requirements. select Device > Licenses. Reboot the firewall (Device > Setup > Operations).  The license is free of charge and can be activated through the support portal as described in the following  procedure.Decryption Configure Decryption Port Mirroring Configure Decryption Port Mirroring Before you can enable Decryption Mirroring. Click Activate. A legal notice displays. Log in to the Palo Alto Networks Customer Support web site  and navigate to the Assets tab. you can enable  decryption port mirroring. Click Retrieve license keys from license server. click I understand and wish to proceed. © Palo Alto Networks. Install the Decryption Port Mirror license  1. Select Decryption Port Mirror. PAN‐OS 7. 4. After you install the Decryption Port Mirror license and reboot the firewall. This  feature is not available for configuration until PAN‐OS  reloads. you must obtain and install a Decryption Port Mirror license. 3. Select the entry for the firewall you want to license and select  Actions.  Configure Decryption Port Mirroring  Step 1 Step 2 Request a license for each firewall on  which you want to enable decryption  port mirroring. 3. Inc.  4.

 the firewall will mirror all decrypted traffic to the  interface before security policies lookup. All traffic  decrypted based on the policy rule is  mirrored. This option is  useful if you are forwarding the decrypted traffic to other  threat detection devices. . Click Add to configure a decryption policy or select an existing  decryption policy to edit. Select a Virtual System to edit or create a new Virtual System  by selecting Add. Inc. Select Objects > Decryption Profile. 3. Select Decrypt Mirror as the Interface Type.  By default. 1. Save the configuration. only traffic that  is forwarded through the firewall is mirrored. which allows you to  replay events and analyze traffic that generates a threat or  triggers a drop action. 4. such as a DLP device or another  intrusion prevention system (IPS). for decryption mirroring. This interface type will appear only if the Decryption Port  Mirror license is installed. The Interface drop‐down contains all Ethernet interfaces that  have been defined as the type: Decrypt Mirror. 2. select Decrypt and the Decryption Profile  created in Step 4. 4. In the Options tab. Enable mirroring of decrypted traffic. Select the Ethernet interface that you want to configure for  decryption port mirroring. With this option. 3. 2. Select Policies > Decryption.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. Attach the decryption profile rule (with  decryption port mirroring enabled) to a  decryption policy rule. On a firewall with multiple virtual systems: Step 4 Step 5 Step 6 Step 7 1.ID. 1. 2. Click OK to save the policy. Superuser permission is required  1. Click OK to save. Select the Allow forwarding of decrypted content check box. 4. 2. Click OK to save. If you want to only mirror decrypted  traffic after security policy enforcement. Select the Allow forwarding of decrypted content check box. Select Device > Setup > Content . Click OK to save the decryption profile. Click Commit.  3.Configure Decryption Port Mirroring Decryption Configure Decryption Port Mirroring  (Continued) Step 3 Enable the firewall to forward decrypted  On a firewall with a single virtual system: traffic. Enable an Ethernet interface to be used  1. to perform this step. 510  •  PAN‐OS 7. Select an Interface to be used for Decryption Mirroring. Specify whether to mirror decrypted traffic before or after  policy enforcement. Select Network > Interfaces > Ethernet. 2. select the  Forwarded Only check box. Select Device > Virtual System. 3. Click OK to save.  4. 3.

 if your users are having  problems accessing an encrypted site or application. Inc. modifying the policies  is a configuration change that requires a Commit. PAN‐OS 7.1 Administrator’s Guide  •  511 Copyright © 2007-2015 Palo Alto Networks . use the following command to temporarily disable  SSL decryption and then re‐enable it after you finish troubleshooting. Temporarily Disable SSL Decryption •  Disable SSL Decryption set system setting ssl-decrypt skip-ssl-decrypt yes •  Re‐enable SSL Decryption set system setting ssl-decrypt skip-ssl-decrypt no © Palo Alto Networks.Decryption Temporarily Disable SSL Decryption Temporarily Disable SSL Decryption In some cases you may want to temporarily disable SSL decryption. you may want to disable SSL decryption in order to  troubleshoot the issue. Instead. Although you could disable the associated decryption policies. For example. This command does not require a  commit and it does not persist in your configuration after a reboot.

Temporarily Disable SSL Decryption Decryption 512  •  PAN‐OS 7.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. Inc. .

Master your semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master your semester with Scribd & The New York Times

Cancel anytime.