Está en la página 1de 30


Version 7.1

Copyright © 2007-2015 Palo Alto Networks

Contact Information
Corporate Headquarters:

Palo Alto Networks
4401 Great America Parkway
Santa Clara, CA 95054‐us

About this Guide
This guide takes you through the configuration and maintenance of your Palo Alto Networks next‐generation 
firewall. For additional information, refer to the following resources:

For information on how to configure other components in the Palo Alto Networks Next‐Generation Security 
Platform, go to the Technical Documentation portal: or 
search the documentation.

For access to the knowledge base and community forums, refer to

For contacting support, for information on support programs, to manage your account or devices, or to open a 
support case, refer to

For the most current PAN‐OS and Panorama 7.1 release notes, go to‐os/pan‐os‐release‐notes.html.

To provide feedback on the documentation, please write to us at:

Palo Alto Networks, Inc.
© 2016 Palo Alto Networks, Inc. Palo Alto Networks is a registered trademark of Palo Alto Networks. A list of our trademarks can be found 
at All other marks mentioned herein may be trademarks of their 
respective companies.
Revision Date: May 9, 2016

2 •  PAN‐OS 7.1 Administrator’s Guide

© Palo Alto Networks, Inc.

Copyright © 2007-2015 Palo Alto Networks

Palo Alto Networks firewalls provide the capability to decrypt and inspect traffic for visibility, control, and 
granular security. Decryption on a Palo Alto Networks firewall includes the capability to enforce security 
policies on encrypted traffic, where otherwise the encrypted traffic might not be blocked and shaped 
according to your configured security settings. Use decryption on a firewall to prevent malicious content 
from entering your network or sensitive content from leaving your network concealed as encrypted traffic. 
Enabling decryption on a Palo Alto Networks firewall can include preparing the keys and certificates required 
for decryption, creating a decryption policy, and configuring decryption port mirroring. See the following 
topics to learn about and configure decryption:

Decryption Overview

Decryption Concepts

Define Traffic to Decrypt

Configure SSL Forward Proxy

Configure SSL Inbound Inspection

Configure SSH Proxy

Configure Decryption Exceptions

Enable Users to Opt Out of SSL Decryption

Configure Decryption Port Mirroring

Temporarily Disable SSL Decryption

© Palo Alto Networks, Inc.

PAN‐OS 7.1 Administrator’s Guide  •  485

Copyright © 2007-2015 Palo Alto Networks

 Certificates are used to establish the firewall as a trusted third party and to  create a secure connection. Vulnerability.  Ensure the appropriate applications are running on a secure network. SSL and SSH encapsulate traffic. for example. After traffic is decrypted and inspected on the firewall. Certificates  can also be used when excluding servers from SSL decryption. unsupported modes. such as a web server and a client. inspect. and  File‐Blocking profiles. To learn more about storing and generating keys using an HSM and  integrating an HSM with your firewall.  Selectively decrypt traffic. This policy‐based  decryption on the firewall gives you visibility into and control of SSL and SSH encrypted traffic according to  configurable parameters. Antivirus. The three decryption policies offered on the firewall. Traffic that has been encrypted using the protocols SSL and SSH can be  decrypted to ensure that these protocols are being used for the intended purposes only.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. and  SSH traffic. The decryption policies provide the settings for you to specify what traffic to  decrypt and you can attach a decryption profile to a policy rule to apply more granular security settings to  decrypted traffic. and control both  inbound and outbound SSL and SSH connections. SSH decryption  does not require certificates.  including Decryption. see Secure Keys with a Hardware Security Module. respectively. SSL Inbound Inspection. encrypting data so that it is  meaningless to entities other than the client and server with the keys to decode the data and the certificates  to affirm trust between the devices. SSL decryption (both forward proxy and inbound inspection) requires  certificates to establish trust between two entities in order to secure an SSL/TLS connection. and failures. Anti‐Spyware. and SSH  Proxy. SSL inbound traffic. URL Filtering. .  Palo Alto Networks firewalls decrypt encrypted traffic by using keys to transform strings (passwords and  shared secrets) from ciphertext to plaintext (decryption) and from plaintext back to ciphertext (re‐encrypting  traffic as it exits the firewall). SSL Forward Proxy. and not to conceal  unwanted activity or malicious content. You can integrate a hardware security module  (HSM) with a firewall to enable enhanced security for the private keys used in SSL forward proxy and SSL  inbound inspection decryption. Use policy‐based decryption on the  firewall to:  Prevent malware concealed as encrypted traffic from being introduced into an corporate network. WildFire Submissions.  Palo Alto Networks firewall decryption is policy‐based. or URL category and in order to block or restrict the specified  traffic according to your security settings. source. Inc. exclude traffic for financial or healthcare sites from decryption  by configuring a decryption exception. The firewall uses certificates and keys to decrypt the traffic  specified by the policy to plaintext. the plaintext traffic is  re‐encrypted as it exits the firewall to ensure privacy and security. You can also choose to extend a decryption configuration on the firewall to include Decryption Mirroring.  which allows for decrypted traffic to be forwarded as plaintext to a third party solution for additional analysis  and archiving. all provide methods to specifically target and inspect SSL outbound traffic.  Prevent sensitive corporate information from moving outside the corporate network. and can be used to decrypt.Decryption Overview Decryption Decryption Overview Secure Sockets Layer (SSL) and Secure Shell (SSH) are encryption protocols used to secure traffic between  two entities. and then enforces App‐ID and security settings on the plaintext traffic. Decryption policies allow you to specify traffic for  decryption according to destination. 486  •  PAN‐OS 7. such as checks for server certificates.

Decryption Decryption Concepts Decryption Concepts To learn about keys and certificates for decryption. For detailed information on certificates. The Forward Untrust certificate ensures that clients are prompted with a  certificate warning when attempting to access sites hosted by a server with untrusted certificates. All  certificates must be issued by a certificate authority (CA).  © Palo Alto Networks. In order to establish trust. Table: Palo Alto Networks Firewall Keys and Certificates describes the different keys and certificates used  by Palo Alto Networks firewalls for decryption. use the Device > Certificate Management > Certificates > Default Trusted Certificate Authorities tab on the  firewall web interface. You can also configure the firewall to use an  enterprise CA as a forward trust certificate for SSL Forward Proxy. As a best practice.509 certificate and therefore knows how to extract identifying information about the  server from fields within the certificate. After the CA verifies a client or server. decryption policies. PAN‐OS 7. such as its FQDN or IP address (called a common name or CN within  the certificate) or the name of the organization. or user to which the certificate was issued. the firewall will present a copy of the server certificate signed by the Forward  Untrust certificate to the client.  With a decryption policy configured. the CA  issues the certificate and signs it with a private key. Keys can  be symmetric (the same key is used to encrypt and decrypt) or asymmetric (one key is used for encryption  and a mathematically related key is used for decryption). Inc. see  the following topics:  Keys and Certificates for Decryption Policies  SSL Forward Proxy  SSL Inbound Inspection  SSH Proxy  Decryption Exceptions  Decryption Mirroring Keys and Certificates for Decryption Policies Keys are strings of numbers that are typically generated using a mathematical operation involving random  numbers and large primes. the firewall must have the  server root CA certificate in its certificate trust list (CTL) and use the public key contained in that root CA  certificate to verify the signature.   To control the trusted CAs that your firewall trusts. X. Keys are used to transform other strings—such as passwords and shared secrets— from plaintext to ciphertext (called encryption) and from ciphertext to plaintext (called decryption). Any system can generate a key. A client attempting to authenticate a server (or a server authenticating a client) knows the  structure of the X. The firewall then presents a copy of the server certificate signed by the  Forward Trust certificate for the client to authenticate. and decryption port mirroring.509 certificates are used to establish trust between a client and a server in order to establish an SSL  connection. see Certificate Management. department. use different keys and certificates for each  usage.1 Administrator’s Guide  •  487 Copyright © 2007-2015 Palo Alto Networks . If the firewall does not have the server  root CA certificate in its CTL. a session between the client and the server is established only if the  firewall trusts the CA that signed the server certificate.

 For example. but have certain servers that you do not want  included in SSL decryption. the firewall intercepts the client SSL request and forwards the SSL request  to the server. When the client initiates  an SSL session with the server. see Store Private Keys on an HSM. The traffic is then  re‐encrypted on the firewall and the firewall forwards the encrypted traffic to the client. In this case. When the client authenticates the certificate. see Keys and Certificates for Decryption Policies). the firewall creates a copy of the server certificate  signs it with the firewall Forward Trust certificate and sends the certificate to the client. Inc. such as the web services for your HR systems. To configure a Forward Untrust certificate on the firewall. However.  if you have SSL decryption enabled. . SSL Forward Proxy decryption prevents malware concealed as SSL encrypted traffic from being  introduced to your corporate network. or store them on an  HSM (see Store Private Keys on an HSM). SSL Exclude Certificate Certificates for servers that you want to exclude from SSL decryption. SSL Inbound Inspection The certificate used to decrypt inbound SSL traffic for inspection and policy  enforcement. To configure a Forward Trust certificate on the firewall. The server returns a certificate intended for the client that is intercepted by the firewall.  you can also set a specific key size for the firewall to use. By default. see Step 2 in the  Configure SSL Forward Proxy task.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. the firewall determines the key size to  use for the client certificate based on the key size of the destination server. For this application.  488  •  PAN‐OS 7. you would import the server certificate for the  servers for which you are performing SSL inbound inspection. SSL Forward Proxy Use an SSL Forward Proxy decryption policy to decrypt and inspect SSL/TLS traffic from internal users to  the web. it decrypts the  SSL traffic into clear text traffic and applies decryption and security profiles to the traffic. signs it with the Forward Untrust certificate and sends it to the client. For added security. Figure: SSL Forward Proxy shows this process in detail.Decryption Concepts Decryption Table: Palo Alto Networks Firewall Keys and Certificates Key/Certificate Usage Description Forward Trust The certificate the firewall presents to clients during decryption if the site the client  is attempting to connect to has a certificate that is signed by a CA that the firewall  trusts. If the server  certificate is signed by a CA that the firewall does not trust. If the  server certificate is signed by a CA that the firewall trusts. The  firewall uses certificates to establish itself as a trusted third party to the session between the client and the  server (For details on certificates. store the forward trust  certificate on a Hardware Security Module (HSM).  As the firewall continues to receive SSL traffic from the server that is destined for the client. the firewall creates a copy of the server  certificate. the SSL session is  established with the firewall functioning as a trusted forward proxy to the site that the client is accessing. the firewall resides between the internal client and outside server. See Configure the Key Size  for SSL Forward Proxy Server Certificates. With SSL Forward Proxy decryption.  Forward Untrust The certificate the firewall presents to clients during decryption if the site the client  is attempting to connect to has a certificate that is signed by a CA that the firewall  does not trust. see Step 4  in the Configure SSL Forward Proxy task. the client sees  a block page warning that the site they’re attempting to connect to is not trusted and the client can choose  to proceed or terminate the session. See Exclude a Server from Decryption. you would  import the corresponding certificates onto the firewall and configure them as SSL  Exclude Certificates.

 Inc.1 Administrator’s Guide  •  489 Copyright © 2007-2015 Palo Alto Networks . if an employee is  remotely connected to a web server hosted on the company network and is attempting to add restricted  internal documents to his Dropbox folder (which uses SSL for data transmission). The firewall is able to apply security policies to the decrypted traffic. PAN‐OS 7.  © Palo Alto Networks. the firewall is able to  access the SSL session between the server and the client and decrypt and inspect traffic transparently.  Configuring SSL Inbound Inspection includes importing the targeted server certificate and key on to the  firewall. detecting  malicious content and controlling applications running over this secure channel. For example. rather  than functioning as a proxy. Because the targeted server certificate and key are imported on the firewall.  Figure: SSL Inbound Inspection shows this process in detail. SSL Inbound Inspection Use SSL Inbound Inspection to decrypt and inspect inbound SSL traffic from a client to a targeted server (any  server you have the certificate for and can import it onto the firewall).Decryption Decryption Concepts Figure: SSL Forward Proxy See Configure SSL Forward Proxy for details on configuring SSL Forward Proxy. SSL Inbound Inspection can  be used to ensure that the sensitive data does not move outside the secure company network by blocking  or restricting the session.

 however. 490  •  PAN‐OS 7. SSH Proxy SSH Proxy provides the capability for the firewall to decrypt inbound and outbound SSH connections  passing through the firewall. a key is generated. When the client sends an  SSH request to the server. .  In an SSH Proxy configuration. establishing an SSH  tunnel between the firewall and the client and an SSH tunnel between the firewall and the server. if SSH tunnels are identified by  the firewall. in order to ensure that SSH is not being used to tunnel unwanted applications  and content.  Content and threat inspections are not performed on SSH tunnels.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks.  The firewall then intercepts the server response and forwards the response to the client. During the boot up process. the firewall intercepts the request and forwards the SSH request to the server. SSH decryption does not require any certificates and the key used for SSH decryption is  automatically generated when the firewall boots up. This key is used for decrypting SSH sessions for all virtual  systems configured on the firewall. The same key is also used for decrypting all SSH v2 sessions. the firewall is able to  distinguish whether the SSH traffic is being routed normally or if it is using SSH tunneling (port forwarding).Decryption Concepts Decryption Figure: SSL Inbound Inspection See Configure SSL Inbound Inspection for details on configuring SSL Inbound Inspection. If not. As traffic flows between the client and the server. Inc. the SSH tunneled traffic is blocked and restricted according to configured security policies. with  firewall functioning as a proxy. Figure: SSH Proxy Decryption shows this process in detail. the firewall resides between a client and a server. the firewall checks to see  if there is an existing key.

 such as the web services for your HR systems. URL category. exclude those servers from decryption by  importing the server certificate onto the firewall and modifying the certificate to be an SSL Exclude Certificate. For example.Decryption Decryption Concepts Figure: SSH Proxy Decryption See Configure SSH Proxy for details on configuring an SSH Proxy policy. and targeted server  traffic from decryption:   Exclude certain URL categories or applications that either do not work properly with decryption enabled  or for any other reason. and TCP  port numbers. you can choose URL categories to exclude  traffic that is categorized as financial or health‐related from decryption. Decryption Exceptions Applications that do not function properly when the firewall decrypts them are automatically excluded from  SSL decryption. if you have SSL decryption enabled but have certain servers for which you do not want to  decrypt traffic. destination. For a current list of applications the firewall excludes from SSL decryption by default. You can use a decryption policy to exclude  traffic from decryption based on source. service (port or protocol). For  example. PAN‐OS 7.1 Administrator’s Guide  •  491 Copyright © 2007-2015 Palo Alto Networks . see  List of Applications Excluded from SSL Decryption. Exclude server traffic from SSL decryption based on the Common Name (CN) in the server certificate. with SSL decryption enabled. including for legal or privacy purposes. URL categories.  You can also Configure Decryption Exceptions to exclude applications. Inc. © Palo Alto Networks.

  passwords. This feature is necessary for organizations that require comprehensive  data capture for forensic and historical purposes or data leak prevention (DLP) functionality. . and/or use of SSL traffic is governed in certain  countries and user consent might be required in order to use the decryption mirror feature. social security numbers.Decryption Concepts Decryption Decryption Mirroring The decryption mirroring feature provides the capability to create a copy of decrypted traffic from a firewall  and send it to a traffic collection tool that is capable of receiving raw packet captures–such as NetWitness  or Solera–for archiving and analysis. Palo Alto Networks recommends that you consult with your corporate council before  activating and using this feature in a production environment. Figure: Decryption Port Mirroring 492  •  PAN‐OS 7. use  of this feature could enable malicious users with administrative access to the firewall to harvest usernames. Inc.  Keep in mind that the decryption. credit card numbers. storage. PA‐5000 Series and PA‐3000 Series platforms only and requires  that a free license be installed to enable this feature.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. inspection. Figure: Decryption Port Mirroring shows the process for mirroring decrypted traffic and the section  Configure Decryption Port Mirroring describes how to license and enable this feature. Decryption  mirroring is available on PA‐7000 Series. Additionally. or other sensitive information submitted using an  encrypted channel.

 is signed by an untrusted CA. or the certificate status  can’t be retrieved during a configured timeout period. Step 3 (Decryption Mirroring Only) To Configure Decryption Port Mirroring.  has extensions restricting the certificate use. the firewall then enforces  the decryption profile settings on traffic matched to the decryption policy rule. Block sessions if the resources to perform decryption are not available or if a hardware security module  is not available to sign certificates.Decryption Define Traffic to Decrypt Define Traffic to Decrypt A decryption policy rule allows you to define traffic that you want the firewall to decrypt.  Create a Decryption Profile  Create a Decryption Policy Rule Create a Decryption Profile A decryption profile allows you to perform checks on both decrypted traffic and traffic that you have  excluded from decryption. cipher suits. enable an Ethernet Interface for the  firewall to use to copy and forward decrypted traffic. Palo Alto Networks firewalls include a default decryption profile that you can use to enforce the basic  recommended protocol versions and cipher suites for decrypted traffic. PAN‐OS 7. You can attach a decryption profile rule to a  decryption policy rule to more granularly control matching traffic. or sessions that require client authentication. or to define traffic  that you want the firewall to exclude from decryption. After you create a decryption profile. © Palo Alto Networks. Block sessions based on certificate status.1 Administrator’s Guide  •  493 Copyright © 2007-2015 Palo Alto Networks . and give the rule a descriptive  Name. Decryption mirroring requires a decryption port mirror license. has an unknown certificate status. where the certificate is expired. Step 2 (Optional) Allow the profile rule to be Shared across every virtual system on a firewall or every Panorama  device group. Add or modify a decryption profile rule. Inc. you can attach it to a decryption policy rule. Create a decryption profile to:    Block sessions using unsupported protocols. Configure a Decryption Profile Rule Step 1 Select Objects > Decryption Profile.

1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks.Define Traffic to Decrypt Decryption Configure a Decryption Profile Rule (Continued) Select SSL Decryption: •  Select SSL Forward Proxy to configure settings to verify  certificates. This allows you to use the default  decryption profile. Step 8 Select Policies > Decryption and Create a Decryption Policy  Rule or modify an existing rule. Commit the configuration. The profile rule settings that are applied to matching traffic  depend on the policy rule Action (Decrypt or No Decrypt) and  the policy rule Type (SSL Forward Proxy. These setting are active only when the decryption profile is  attached to a decryption policy rule that disables decryption for  certain traffic. These settings  are active only when this profile is attached to a decryption  policy rule that is set to perform SSL Forward Proxy decryption. 3. Step 4 (Optional) Block and control SSL  tunneled and/or inbound traffic  undergoing SSL Forward Proxy  decryption or SSL Inbound Inspection. Step 6 (Optional) Block and control SSH traffic  Select SSH Proxy and configure settings to enforce supported  undergoing SSH Proxy decryption. a URL category) for which you  for traffic that is excluded from decryption. Step 5 (Optional) Block and control traffic (for  Select No Decryption and configure settings to validate certificates  example. and  perform failure checks on SSL decrypted traffic. with different types of decryption policy  rules. Step 7 Add the decryption profile rule to a  1. encryption.  have disabled decryption. protocol versions and  These settings are active only when the decryption profile is  attached to a decryption policy rule that decrypts SSH traffic. These settings are active only  when this profile is attached to a decryption policy rule that is  set to perform SSL Inbound Inspection. Select Options and select a Decryption Profile to block and  control various aspects of the traffic matched to the rule. These  settings are active when this profile is attached to decryption  policy rules that are set to perform either SSL Forward Proxy  decryption or SSL Inbound Inspection. Click OK. standard decryption profile customized for  your organization. or SSH Proxy). •  Select SSL Protocol Settings to configure minimum and  maximum protocol versions and key exchange. . 494  •  PAN‐OS 7. SSL Inbound  Inspection. enforce protocol versions and cipher suites. Traffic that the policy rules matches to is  2. decryption policy rule. and  authentication algorithms to enforce for SSL traffic. •  Select SSL Inbound Inspection to configure settings enforce  protocol versions and cipher suites and to perform failure  checks on inbound SSL traffic. Inc. enforced based on the additional profile  rule settings.

 such as unknown users or pre‐logon users  (users that are connected to GlobalProtect but are not yet logged in). or you  could exclude financial or healthcare‐related sites from decryption based on the Palo Alto Networks  URL categories. Set the Type of decryption for the firewall to perform on  matching traffic: •  SSL Forward Proxy •  SSH Proxy •  SSL Inbound Inspection. Select Decrypt . Step 3 Configure the decryption rule to match to traffic based on network and policy objects: • Firewall security zones—Select Source and/or Destination and match to traffic based on the Source Zone  and/or the Destination Zone. Step 2 Give the policy rule a descriptive Name. while continuing to decrypt the same  applications when they are detected on non‐standard ports • URLs and URL categories—Select Service/URL Category and decrypt traffic based on: •  An externally‐hosted list of URLs that the firewall retrieves for policy‐enforcement (see Objects > External Dynamic Lists). You can exclude  applications running on their default ports from decryption. Inc. Step 5 (Optional) Select a Decryption Profile to apply the profile settings to decrypted traffic. By  default. The application‐default setting is useful to Configure Decryption Exceptions. For  example. You can  also use a decryption policy rule to define Decryption Exceptions. also select the Certificate for the destination  internal server for the inbound SSL traffic. the policy rule is set to decrypt Any traffic on TCP and UDP ports. © Palo Alto Networks. •  Palo Alto Networks URL categories.  • Users—Select Source and set the Source User for whom to decrypt traffic. or SSH Proxy decryption. • IP addresses. select Objects > Decryption Profile). You can decrypt specific user  or group traffic. address objects. This option is useful to Configure Decryption Exceptions.Decryption Define Traffic to Decrypt Create a Decryption Policy Rule Create a decryption policy rule to define traffic for the firewall to decrypt and the type of decryption you  want the firewall to perform: SSL Forward Proxy. Alternatively. you could create a custom URL category to group sites that you do not want to decrypt. •  Custom URL categories (see Objects > Custom Objects > URL Category). 2. or decrypt traffic for certain types of users. and optionally set the rule to application-default to match to applications only on the  application default ports.  Step 4 Set the action the policy rule enforces on  Select Options and set the policy rule Action: matching traffic: the rule can either  Decrypt matching traffic: decrypt matching traffic or exclude  1. and/or address groups—Select Source and/or Destination to match to traffic  based on Source Address and/or the Destination Address. • Ports and protocols—Select Service/URL Category to set the rule to match to traffic based on service. matching traffic from decryption. If you want to enable SSL Inbound  Inspection. You can Add a service or a  service group. Configure a Decryption Policy Rule Step 1 Select Policies > Decryption and Add a new decryption policy rule. (To Create a  Decryption Profile. PAN‐OS 7. SSL Inbound Inspection. select Negate to exclude the  source address list from decryption. Exclude matching traffic from decryption: Select No Decrypt.1 Administrator’s Guide  •  495 Copyright © 2007-2015 Palo Alto Networks .

1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. . Next Steps.. Fully enable the firewall to decrypt traffic: •  Configure SSL Forward Proxy •  Configure SSL Inbound Inspection •  Configure SSH Proxy •  Configure Decryption Exceptions 496  •  PAN‐OS 7. Inc.Define Traffic to Decrypt Decryption Configure a Decryption Policy Rule Step 6 Click OK to save the policy..

 including what type of  interface it is. • Use a self‐signed certificate as the forward trust certificate. you must set up the certificates required  to establish the firewall as a trusted third party to the session between the client and the server. The clear text traffic is blocked  and restricted based on the decryption profile attached to the policy and the firewall security policy. the  firewall can sign a copy of the server certificate to present to the client and establish the SSL session. You can select  an interface to modify its configuration. © Palo Alto Networks. the firewall can then send a copy of the destination server certificate to the client signed by the  enterprise CA. PAN‐OS 7. You  can use self‐signed certificates for SSL Forward Proxy decryption if your organization does not have an  enterprise CA or if you intend to only perform decryption for a limited number of clients. When the firewall trusts the CA that signed the certificate of the destination  server.  Layer 2. The firewall  can use self‐signed certificates or certificates signed by an enterprise certificate authority (CA) as forward  trust certificates to authenticate the SSL session with the client.Decryption Configure SSL Forward Proxy Configure SSL Forward Proxy  To enable the firewall to perform SSL Forward Proxy decryption.  Self‐signed Certificates When a client connects to a server with a certificate that is signed by a CA that the firewall trusts. View configured interfaces on the Network > Interfaces > Ethernet tab. SSL tunneled  traffic matched to the decryption policy rule is decrypted to clear text traffic. Additionally. set up a forward untrust certificate for the firewall to present to clients when the server  certificate is signed by a CA that the firewall does not trust.    (Recommended) Enterprise CA‐signed Certificates An enterprise CA can issue a signing certificate which the firewall can use to sign the certificates for sites  requiring SSL decryption. or Layer 3 interface. After setting up the forward trust and forward untrust certificates required for SSL Forward Proxy  decryption. Configure SSL Forward Proxy   Step 1 Ensure that the appropriate interfaces  are configured as either virtual wire. Inc. This ensures that clients are prompted with a  certificate warning when attempting to access sites with untrusted certificates. Traffic  is re‐encrypted as it exits the firewall. Step 2 Configure the forward trust certificate for the firewall to present to clients when the server certificate is signed  by a trusted CA: • (Recommended) Use an enterprise CA‐signed certificate as the forward trust certificate. The Interface Type column displays if an interface is configured  to be a Virtual Wire or Layer 2.1 Administrator’s Guide  •  497 Copyright © 2007-2015 Palo Alto Networks . or Layer 3 interfaces. add a decryption policy rule to define the traffic you want the firewall to decrypt.

 add Certificate Attributes to further identify the firewall details. 5.  In the Signed By drop‐down.  Select the pending certificate displayed on the Device Certificates tab. The pending certificate is now  displayed on the Device Certificates tab. Click OK to save the enterprise CA‐signed forward trust  certificate. c.  Enter the pending Certificate Name exactly (in this case.  Select Device > Certificate Management > Certificates and  click Import. 1. 4. b. such as  Country or Department. When you  receive the enterprise CA‐signed certificate from your  enterprise CA.  Click OK to save the CSR. save the enterprise CA‐signed certificate for  import onto the firewall. The Certificate Name that you enter must  exactly match the pending certificate name in order for the  pending certificate to be validated.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. in this case. Generate a Certificate Signing Request (CSR) for the enterprise  CA to sign and validate: a.Configure SSL Forward Proxy Decryption Configure SSL Forward Proxy (Continued)  • (Recommended) Use an enterprise  CA‐signed certificate as the forward  trust certificate.  (Optional) If your enterprise CA requires it. 3. select External Authority (CSR).  Enter a Certificate Name. c. .  Select Device > Certificate Management > Certificates and  click Generate.  Click OK. 2.  my‐fwd‐trust). e. Select the validated certificate. Export the CSR: a. 498  •  PAN‐OS 7. b.  Select the signed Certificate File that you received from  your enterprise CA. c. b. Leave Export private key unselected in order to ensure  that the private key remains securely on the firewall. Provide the certificate file to your enterprise CA. d. d. The certificate is displayed as valid with the Key  and CA check boxes selected. such as my‐fwd‐proxy.  Click OK. 6.  Click Export to download and save the certificate file. Inc. Import the enterprise CA‐signed certificate onto the firewall: a. to  enable it as a Forward Trust Certificate to be used for SSL  Forward Proxy decryption. my‐fwd‐proxy.

 you can skip  this step.  Enter a Certificate Name. © Palo Alto Networks.1 Administrator’s Guide  •  499 Copyright © 2007-2015 Palo Alto Networks . 3. Selecting this check box  creates a certificate authority (CA) on the firewall that is  imported to the client browsers.  Enter a Common Name.  c. and the client  systems already have the  enterprise CA added to the local  trusted root CA list. 2. – If you do not install the forward  trust certificate on client  systems. the default import location is the Personal  certificate store. This should be  the IP or FQDN that will appear in the certificate. Step 3 Distribute the forward trust certificate to  client system certificate stores. – If you are using an  enterprise‐CA signed certificate  as the forward trust certificate  for SSL Forward Proxy  decryption. g.168. users will see certificate  warnings for each SSL site they  visit.  Click Generate at the bottom of the window. 1.  Select Device > Certificate Management > Certificates. You can also simplify this process by using a  centralized deployment.2.  Leave the Signed By field blank. PAN‐OS 7.  Generate the certificate.  5. Select Network > GlobalProtect > Portals and then select an  existing portal configuration or Add a new one. so clients trust the firewall  as a CA. f. b. Add the SSL Forward Proxy forward trust certificate to the  Trusted Root CA section. Generate a new certificate: a.  Click the Certificate Authority check box to enable the  firewall to issue the certificate. and do not select the Export private key option. and requires GlobalProtect agent 3. d. e. 1. such as 192.0. Inc. Select Agent and then select an existing agent configuration or  Add a new one. Without GlobalProtect: Export the forward trust certificate for import into client systems  by highlighting the certificate and clicking Export at the bottom of  the window. Avoid using  spaces in this field. such as my‐fwd‐trust.0 or later to  be installed on the client systems. Click OK to save the self‐signed forward trust certificate. we are using the IP of the trust interface. import it into the browser trusted root CA list  on the client systems in order for the clients to trust it. Click the new certificate my‐fwd‐trust to modify it and enable  the certificate to be a Forward Trust Certificate.1. ensure the certificate is added to  the Trusted Root Certification Authorities certificate store.  4.Decryption Configure SSL Forward Proxy Configure SSL Forward Proxy (Continued)  • Use a self‐signed certificate as the  forward trust certificate. 3. Install in Local Root Certificate Store so that the  GlobalProtect portal automatically distributes the certificate  and installs it in the certificate store on GlobalProtect client  systems. Click OK twice. In this  case. On  Windows systems. such as an Active Directory Group Policy  Object (GPO).  2. When  importing to the client browser. Choose PEM format. On a firewall configured as a GlobalProtect portal: This option is supported with Windows and Mac client OS  versions.

Configure SSL Forward Proxy Decryption Configure SSL Forward Proxy (Continued)  Step 4 Configure the forward untrust  certificate. 5. 4. On a firewall with virtual systems configured: 1. 1. Enter a Certificate Name.1. and select Allow Forwarding of Decrypted Content. Configure the Key Size for SSL Forward Proxy Server Certificates. Click Generate to generate the certificate. . Step 6 Create a Decryption Policy Rule to define  1. Commit the configuration. Set the Common Name.  the firewall determines the key size to  use based on the key size of the  destination server certificate. 3. Select Device > Virtual Systems. Do not export the forward untrust certificate for  import into client systems. Inc. Edit the URL Filtering options to Allow Forwarding of Decrypted Content. Step 5 (Optional) Set the key size of the SSL  Forward Proxy certificates that the  firewall presents to clients. Click the virtual system you want to modify. Select Options and: •  Set the rule Action to Decrypt matching traffic. 2. Create  a Decryption Profile to perform certificate checks and  enforce strong cipher suites and protocol versions). Click OK to save. 2. 2. Click OK to save. Select Policies > Decryption.  7. 6. Get started with  WildFire to decide what WildFire  deployment works for you and to  enable file forwarding and  signature protection. traffic for the firewall to decrypt. 3.  3.2. Add or modify an existing rule. 500  •  PAN‐OS 7. Click OK. Step 7 Step 8 (Optional) Allow the firewall to forward  decrypted traffic for WildFire analysis. 2.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. On a single firewall: 1. 8. Click the Certificate Authority check box to enable the firewall  to issue the certificate. Select Device > Setup > Content-ID. This option requires an active  WildFire license.168. Click OK. the users will  not see certificate warnings for SSL sites with  untrusted certificates. such as my‐fwd‐untrust.  and define traffic to be decrypted. Click OK to save. •  (Optional) Select a Decryption Profile to block and control  various aspects of the decrypted traffic (for example. If the forward trust  certificate is imported on client systems. Click the new my‐ssl‐fw‐untrust certificate to modify it and  enable the Forward Untrust Certificate option. •  Set the rule Type to SSL Forward Proxy. 3. Click Generate at the bottom of the certificates page. Leave  Signed By blank. for example 192. By default.

.. •  Configure Decryption Exceptions to disable decryption for  certain types of traffic. •  Enable Users to Opt Out of SSL Decryption. © Palo Alto Networks.1 Administrator’s Guide  •  501 Copyright © 2007-2015 Palo Alto Networks . PAN‐OS 7.Decryption Configure SSL Forward Proxy Configure SSL Forward Proxy (Continued)  Next Steps. Inc.

  and define traffic to be decrypted. Select Options and: •  Set the rule Action to Decrypt matching traffic. 4. The clear text traffic is blocked and restricted based on the decryption profile attached to the  policy and any configured Antivirus. Step 2 Ensure that the targeted server  certificate is installed on the firewall.  Layer 2. select Import. 2. select Device > Certificate Management > Certificates > Device Certificates to view certificates installed on  the firewall.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. all SSL traffic identified by the policy is decrypted to clear text traffic  and inspected. Configure SSL Inbound Inspection Step 1 Ensure that the appropriate interfaces  are configured as either virtual wire. •  (Optional) Select a Decryption Profile to block and control  various aspects of the decrypted traffic (for example. including what type of  interface it is. •  Select the Certificate for the internal server that is the  destination of the inbound SSL traffic. or Layer 3 interfaces. Add or modify an existing rule. unknown files for WildFire analysis and signature  generation. 2. •  Set the rule Type to SSL Inbound Inspection. On the Device Certificates tab. Select Policies > Decryption. .  3. View configured interfaces on the Network > Interfaces > Ethernet tab. With an SSL Inbound  Inspection decryption policy enabled. or Layer 3 interface. Configuring SSL Inbound Inspection includes installing the targeted server certificate on the firewall and  creating an SSL Inbound Inspection decryption policy. 3. 502  •  PAN‐OS 7. Create  a Decryption Profile to terminate sessions if system  resources are not available to process decryption).  You can also enable the firewall to forward decrypted. Inc. Click OK to save. Create a Decryption Policy Rule to define  1. You can select  an interface to modify its configuration. On the web interface. URL‐Filtering and File Blocking profiles. The Interface Type column displays if an interface is configured  to be a Virtual Wire or Layer 2. Enter a descriptive Certificate Name. To import the targeted server certificate onto the firewall: Step 3 1. Browse for and select the targeted server Certificate File. Anti‐Spyware.Configure SSL Inbound Inspection Decryption Configure SSL Inbound Inspection  Use SSL Inbound Inspection to decrypt and inspect inbound SSL traffic destined for a network server (you  can perform SSL Inbound Inspection for any server if you have the server certificate). Click OK. Traffic is re‐encrypted as it exits the firewall. Vulnerability. traffic for the firewall to decrypt.

On a single firewall: 1..Decryption Configure SSL Inbound Inspection Configure SSL Inbound Inspection Step 4 Step 5 (Optional) Allow the firewall to forward  decrypted traffic for WildFire analysis. •  Enable Users to Opt Out of SSL Decryption. © Palo Alto Networks. Get started with  WildFire to decide what WildFire  deployment works for you and to  enable file forwarding and  signature protection.. Click OK. On a firewall with virtual systems configured: 1. Click OK. Edit the URL Filtering options to Allow Forwarding of Decrypted Content. Commit the configuration. Click the virtual system you want to modify. PAN‐OS 7. 2. 2. Inc. •  Configure Decryption Exceptions to disable decryption for  certain types of traffic. and select Allow Forwarding of Decrypted Content. Select Device > Setup > Content-ID. This option requires an active  WildFire license. 3. 3.1 Administrator’s Guide  •  503 Copyright © 2007-2015 Palo Alto Networks . Next Steps. Select Device > Virtual Systems.

 Traffic is re‐encrypted as it exits the firewall. •  (Optional) Select a Decryption Profile to block and control  various aspects of the decrypted traffic (for example. Get started with  WildFire to decide what WildFire  deployment works for you and to  enable file forwarding and  signature protection. 3. Inc. all SSH traffic identified by the policy is decrypted and identified as either  regular SSH traffic or as SSH tunneled traffic. Click the virtual system you want to modify. Select Options and: •  Set the rule Action to Decrypt matching traffic.  Decryption can only be performed on  virtual wire. View configured interfaces on the Network > Interfaces > Ethernet tab. 2. Click OK. including what type of  interface it is. On a firewall with virtual systems configured: 1.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. and select Allow Forwarding of Decrypted Content..  and define traffic to be decrypted. Select Device > Setup > Content-ID. Create  a Decryption Profile to terminate sessions if system  resources are not available to process decryption). Select Device > Virtual Systems. Select Policies > Decryption. 2. Add or modify an existing rule.. 3. 2. You can select  an interface to modify its configuration. Step 3 Step 4 (Optional) Allow the firewall to forward  decrypted traffic for WildFire analysis. Layer 2. or Layer 3  interfaces. On a single firewall: 1. Configure SSH Proxy Decryption Step 1 Ensure that the appropriate interfaces  are configured as either virtual wire. Click OK to save. traffic for the firewall to decrypt. . Commit the configuration. •  Set the rule Type to SSH Proxy.Configure SSH Proxy Decryption Configure SSH Proxy Configuring SSH Proxy does not require certificates and the key used to decrypt SSH sessions is generated  automatically on the firewall during boot up. Step 2 Create a Decryption Policy Rule to define  1. 504  •  PAN‐OS 7. Configure Decryption Exceptions to disable decryption for certain  types of traffic. Click OK. This option requires an active  WildFire license. SSH tunneled traffic is blocked and restricted according to the  profiles configured on the firewall. Edit the URL Filtering options to Allow Forwarding of Decrypted Content. The Interface Type column displays if an interface is configured  to be a Virtual Wire or Layer 2.  With SSH decryption enabled. Next Step.  Layer 2. or Layer 3 interface. or Layer 3 interfaces.  3.

 and  service (ports and protocols). Decryption rules are enforced against  incoming traffic in sequence and the first  rule to match to traffic is enforced— moving the No Decrypt rule to the top of  the rule list ensures that the traffic  matched to the rule remains encrypted. source. © Palo Alto Networks. c. destination.  Exclude Traffic from a Decryption Policy Step 1 Step 2 Exclude traffic from decryption based  match criteria. You can also exclude a specific server from decryption.  even if the traffic is later matched to  other decryption rules. Define the traffic that you want to exclude from decryption. 4. PAN‐OS 7.  Set the Source and Destination to Any to apply the  No‐Decrypt‐Finance‐Health rule to all SSL traffic destined  for an external server. (Optional) You can still use a decryption profile to validate  certificates for sessions the firewall does not decrypt. URL category.Decryption Configure Decryption Exceptions Configure Decryption Exceptions You can purposefully exclude traffic from decryption based on source. b. make sure that a  decryption exclusion rule is listed first in your decryption policy.  Exclude traffic from decryption based on application. and click Move Up until it appears at  top of your decryption policy. Place the decryption exclusion rule at the  On the Decryption > Policies page. Inc. See the following topics  to configure Decryption Exceptions:  Exclude Traffic from Decryption  Exclude a Server from Decryption Exclude Traffic from Decryption To exclude traffic from decryption. select the policy  No‐Decrypt‐Finance‐Health. Click OK to save the No‐Decrypt‐Finance‐Health decryption  rule. 1. and service (ports  and protocols). 3. destination. URL category. such as  No‐Decrypt‐Finance‐Health. create a decryption policy rule and set the policy action to No Decrypt. Attach a  decryption profile to the rule that is set to Block sessions with expired certificates and/or Block sessions with untrusted issuers. This example shows how to exclude  traffic categorized as financial or  health‐related from SSL Forward Proxy  decryption.  Give the rule a descriptive Name.1 Administrator’s Guide  •  505 Copyright © 2007-2015 Palo Alto Networks . 5. In this example: a. Select Policies > Decryption and modify or Create a Decryption Policy rule. Select Options and set the rule to No Decrypt. 2. Because policy rules are compared against incoming traffic in sequence. the top of the list (or you can drag and drop the rule).  Select URL Category and Add the URL categories  financial‐services and health‐and‐medicine.

1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. if you have SSL decryption enabled.  Exclude a Server from Decryption Step 1 Import the targeted server certificate onto the firewall: 1.  Enter a descriptive Certificate Name. select Import. you could configure a decryption exception for the server  on your corporate network that hosts the web services for your HR systems. 3.  Browse for and select the targeted server Certificate File. Exclude a Server from Decryption You can exclude server traffic from SSL decryption based on the common name (CN) in the server certificate. 2.  For example. 506  •  PAN‐OS 7.  Click OK.Configure Decryption Exceptions Decryption Exclude Traffic from a Decryption Policy Step 3 Commit the configuration. Step 2 Select the targeted server certificate on the Device Certificates tab and enable it to be an SSL Exclude Certificate. 4. When the targeted server certificate is designated as an SSL Exclude Certificate.  On the Device > Certificate Management > Certificates > Device Certificates tab. Inc. the firewall does not decrypt  the server traffic even if the traffic matches decryption policy rule. .

 the first  time a user attempts to browse to an HTTPS site or application that matches your decryption policy. select Device > Response Pages.1 Administrator’s Guide  •  507 Copyright © 2007-2015 Palo Alto Networks . Select the response page you just imported and click Close. 9. or any other HTTPS site. © Palo Alto Networks. Select the Predefined page and click Export. click the Disabled link. 2.  6. Users can either click Yes  to allow decryption and continue to the site or click No to opt out of decryption and terminate the session.  5. after  which the firewall redisplays the response page. 13. Users who opt out of SSL decryption cannot access the  requested web page. (Optional) Select the virtual system on which this login page  will be used from the Destination drop‐down or select shared  to make it available to all virtual systems.  The choice to allow decryption applies to all HTTPS sites that users try to access for the next 24 hours. Select the SSL Decryption Opt-out Page link. Save the edited page with a new filename. If you want to add an image. Select the Enable SSL Opt-out Page and click OK. Add a line to the HTML to point to the image. Step 2 Enable SSL Decryption Opt Out. 12.  2. you might need to alert your users to the fact that the firewall is decrypting certain web traffic  and allow them to terminate sessions that they do not want inspected. The firewall includes a predefined SSL Decryption Opt‐out Page that you can enable. Select the SSL Decryption Opt-out Page link.Decryption Enable Users to Opt Out of SSL Decryption Enable Users to Opt Out of SSL Decryption In some cases. Using the HTML text editor of your choice. Commit the changes. Make sure that the  page retains its UTF‐8 encoding. For example: <img src="http://cdn.  Enable Users to Opt Out of SSL Decryption Step 1 (Optional) Customize the SSL  Decryption Opt‐out Page. 3. PAN‐OS 7. With SSL Opt Out enabled. Click OK to import the file.  3. the  firewall displays a response page notifying the user that it will decrypt the session. 11. for the next minute. On the Device > Response Pages page. host the image on a web server  that is accessible from your end user systems.  1.jpg?1382722588"/> 7. Back on the firewall. the firewall  redisplays the response page the next time the users attempt to access an HTTPS site. Acme-logo-96x96. 1. Inc. 8. Select Device > Response Pages. After the minute elapses.slidesharecdn. Click Import and then enter the path and filename in the  Import File field or Browse to locate the file. edit the page. 4. You can optionally  customize the page with your own text and/or images.

 go to an encrypted site that matches your  decryption policy. Inc. Verify that the SSL Decryption Opt‐out response page displays. . 508  •  PAN‐OS 7. From a browser.Enable Users to Opt Out of SSL Decryption Decryption Enable Users to Opt Out of SSL Decryption Step 3 Verify that the Opt Out page displays  when you attempt to browse to a site.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks.

 select Device > Licenses. 2. 5. Install the Decryption Port Mirror license  1. Click Activate. 3. you can enable  decryption port mirroring. Select Decryption Port Mirror. From the firewall web interface. click I understand and wish to proceed. After you install the Decryption Port Mirror license and reboot the firewall. Click Retrieve license keys from license server.  4. Reboot the firewall (Device > Setup > Operations). PAN‐OS 7.  The license is free of charge and can be activated through the support portal as described in the following  procedure. Inc. Log in to the Palo Alto Networks Customer Support web site  and navigate to the Assets tab. A legal notice displays.  Configure Decryption Port Mirroring  Step 1 Step 2 Request a license for each firewall on  which you want to enable decryption  port mirroring. 2. © Palo Alto Networks.Decryption Configure Decryption Port Mirroring Configure Decryption Port Mirroring Before you can enable Decryption Mirroring.  1. If you are clear about the potential legal implications and  requirements. Verify that the license has been activated on the firewall. 3. 4. Select the entry for the firewall you want to license and select  Actions. you must obtain and install a Decryption Port Mirror license. on the firewall. This  feature is not available for configuration until PAN‐OS  reloads.1 Administrator’s Guide  •  509 Copyright © 2007-2015 Palo Alto Networks .

to perform this step. Select Device > Setup > Content .  4.  3. Select a Virtual System to edit or create a new Virtual System  by selecting Add. Click Commit. 2. With this option. 3. only traffic that  is forwarded through the firewall is mirrored. such as a DLP device or another  intrusion prevention system (IPS). 2. 4. Click OK to save the decryption profile. Select Device > Virtual System. Click OK to save. The Interface drop‐down contains all Ethernet interfaces that  have been defined as the type: Decrypt Mirror. 1. 2. which allows you to  replay events and analyze traffic that generates a threat or  triggers a drop action. Save the configuration.  By default. Specify whether to mirror decrypted traffic before or after  policy enforcement. Click OK to save. Inc. Attach the decryption profile rule (with  decryption port mirroring enabled) to a  decryption policy rule. for decryption mirroring. Enable an Ethernet interface to be used  1. This option is  useful if you are forwarding the decrypted traffic to other  threat detection devices. 2. Select the Allow forwarding of decrypted content check box. 4. Select Decrypt Mirror as the Interface Type. Select Objects > Decryption Profile. Select the Allow forwarding of decrypted content check box. Superuser permission is required  1. 2.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks. Enable mirroring of decrypted traffic. 3. Click OK to save the policy. 1. the firewall will mirror all decrypted traffic to the  interface before security policies lookup.ID. This interface type will appear only if the Decryption Port  Mirror license is installed. Select Network > Interfaces > Ethernet. 510  •  PAN‐OS 7. Select an Interface to be used for Decryption Mirroring. Click OK to save.Configure Decryption Port Mirroring Decryption Configure Decryption Port Mirroring  (Continued) Step 3 Enable the firewall to forward decrypted  On a firewall with a single virtual system: traffic. Click Add to configure a decryption policy or select an existing  decryption policy to edit. 3. select the  Forwarded Only check box. All traffic  decrypted based on the policy rule is  mirrored. If you want to only mirror decrypted  traffic after security policy enforcement. Select Policies > Decryption. select Decrypt and the Decryption Profile  created in Step 4. 4. In the Options tab. Select the Ethernet interface that you want to configure for  decryption port mirroring. 3. . On a firewall with multiple virtual systems: Step 4 Step 5 Step 6 Step 7 1.

PAN‐OS 7. Instead. use the following command to temporarily disable  SSL decryption and then re‐enable it after you finish troubleshooting.1 Administrator’s Guide  •  511 Copyright © 2007-2015 Palo Alto Networks .Decryption Temporarily Disable SSL Decryption Temporarily Disable SSL Decryption In some cases you may want to temporarily disable SSL decryption. Temporarily Disable SSL Decryption •  Disable SSL Decryption set system setting ssl-decrypt skip-ssl-decrypt yes •  Re‐enable SSL Decryption set system setting ssl-decrypt skip-ssl-decrypt no © Palo Alto Networks. For example. if your users are having  problems accessing an encrypted site or application. Although you could disable the associated decryption policies. you may want to disable SSL decryption in order to  troubleshoot the issue. modifying the policies  is a configuration change that requires a Commit. This command does not require a  commit and it does not persist in your configuration after a reboot. Inc.

. Inc.1 Administrator’s Guide Copyright © 2007-2015 Palo Alto Networks © Palo Alto Networks.Temporarily Disable SSL Decryption Decryption 512  •  PAN‐OS 7.