如何配置Squid SSL凸起让Paloalto PA系列防火墙识别App-ID

Question

Paloalto防火墙(PA-2050，POS 4.1x)能够识别用户访问的网站(通过http/https)，然后用App-ID标记它们，并对流量应用程序控制，例如阻止所有的webmail/文件共享/社交媒体.等。

但是，PA-2050只能在我们在防火墙之前安装了一个带有SSL凸起的Squid代理3.4之后，才能识别那些访问https的网站的流量是"SSL“。这就削弱了PA防火墙的应用控制机制。

有人知道如何配置Squid3.4(或PA-2050)以恢复https流量通过Squid代理的应用程序控制功能？

Answer 1

可以将Palo防火墙设置为使用解密策略来检查通过Squid代理后的通信量。这将允许Palo看到解密的通信量，并再次分配有意义的应用程序ID。见如何实现SSL解密。