PaloAlto_19 SSL 解密：別當那個「隔著麻袋摸大象」的資安工程師

前言：加密流量，是駭客最溫柔的掩護

如果你已經搞定了 Zone 的邏輯，也學會了用 App-ID 去抓應用程式，你可能會覺得自己現在就像機房裡的葉問，一個能打十個。

但我要潑你一盆冷水。

在 2026 年的今天，超過 90% 的網路流量都是加密的（HTTPS/TLS）。如果你沒有開啟 SSL Decryption (SSL 解密)，你的 PA-1410 就算效能再強，在它眼裡，這些流量通通都長這樣：

[一團亂碼] -> [目的地] -> [又一團亂碼]

這就像是你身為機場安檢員，看到旅客提著一個「死鎖的保險箱」走進來。你問他裡面裝什麼，他說裝的是「個人隱私（HTTPS）」。你就揮揮手讓他過去了？這不叫資安，這叫佛系管理。

今天的 PaloAlto_19，我們要聊聊如何優雅地拆開這些保險箱，又不被旅客（使用者）投訴到爆。

一、 為什麼非「拆」不可？（SSL 解密的必要性）

很多老闆（甚至有些資深工程師）會問：「解密很耗效能耶，真的有必要嗎？」

我通常會回他一個情境： 如果有一個員工，從家裡的雲端硬碟下載了一個包著 Cobalt Strike（木馬） 的檔案，並且這個檔案是透過 HTTPS 傳輸的。

• 沒開解密： PA 只看到 App: web-browsing，流量通過。恭喜你，內網中毒了。

• 開了解密： PA 會在防火牆中間把流量拆開，用 Content-ID 掃描裡面的位元組。發現病毒，直接攔截。

一句話總結：不開解密，你的進階威脅防禦（IPS、WildFire）就跟裝飾品沒兩樣。

二、 實戰操作：PA-1410 的「中間人」演技

SSL 解密的原理其實就是合法的「中間人攻擊 (Man-in-the-Middle)」。

1. 使用者想連到 Google。

2. PA-1410 攔截請求，自己偽裝成 Google 發一個憑證給使用者。

3. PA-1410 另外去跟真正的 Google 連線。

這中間最容易翻車的地方就是：憑證 (Certificate)。

如果你的使用者電腦不信任 PA 發出來的那張「代理憑證」，他們打開瀏覽器就會看到滿螢幕的「您的連線不是私密連線」。接著，你的分機就會被打爆，主管會站在你背後，問你為什麼公司網路壞了。

良的避坑指南：

• 一定要透過 AD GPO 派送憑證： 讓全公司的電腦預設信任 PA 的 Sub-CA 憑證。

• 手機與 IoT 設備是地雷： 這些東西很難塞憑證進去，建議先排除在解密清單外，不然你的報修單會接到手軟。

三、 哪些東西打死都不能解？（Decryption Exclusion）

做 SSL 解密不能像推土機一樣全推平，有些東西解密了會出大事（甚至有法律責任）：

1. 金融銀行類 (Financial Services)： 你解密員工的網銀帳密？這在某些法規下是違法的。

2. 醫療與隱私 (Health and Medicine)： 同上，別給自己找麻煩。

3. 政府網站： 有些政府憑證有特殊檢查機制，解密後會直接斷線。

4. 不支援解密的 App： 例如 Dropbox 或某些特定的手機 App，它們會檢查憑證的「指紋」（Certificate Pinning），一旦發現中間有人動手腳，就直接擺工。

工程師的專業溫柔： 在 PA 的 Decryption Policy 裡，記得最上面要疊一層 No-Decrypt 的規則，把這些敏感類別通通排除。

四、 效能與「爆機」的恐懼

「解密會讓防火牆變慢」這不是傳聞，這是物理規律。解密需要大量的數學運算。 好在我們用的是 PA-1410，它有專門的硬體加速晶片處理這塊。但即便如此，你還是要監控你的 DP CPU (Dataplane CPU)。

如果有一天你發現解密開下去，CPU 飆到 90%，請不要驚慌，這時候你有兩個選擇：

1. 縮小範圍： 只解密「最危險」的類別（例如：Web-browsing, Unknown-tcp）。

2. 升級硬體： 拿著數據去找老闆，說我們需要更高階的型號了。（這也是幫自己爭取預算的好機會）。

五、 結語：資安就是一場「透明度」的戰爭

SSL 解密很痛苦，部署過程會有很多雜音，甚至會讓你懷疑人生。但一旦你熬過去，你會發現你的 Traffic Log 變得很清澈。

你會看到：

• 本來是 SSL 的流量，現在顯示為 Google-base。

• 原本藏在加密流量裡的惡意檔案，被 WildFire 準確擊落。

• 員工在上班時間偷偷用加密代理跳牆，被你一秒抓到。

資安工程師的價值，就在於你能看到別人看不見的東西。

PaloAlto_18 App-ID 的覺醒--別再讓 Port 號綁架你的智商

 

前言：你還在玩「看門牌猜屋主」的遊戲嗎？

如果你看完上一篇 [PaloAlto_17] 已經乖乖把 Zone 劃分清楚了，恭喜你，你已經從「水電工」晉升為「資安室內設計師」。但先別急著開香檳，因為接下來這個關卡，會決定你的 PA-1410 到底是一台具備人工智慧的頂級超跑，還是一台跑得比較快的電子垃圾。

這個關卡就叫：App-ID。

傳統防火牆（我們簡稱 Legacy FW，或是「那些讓你半夜被 Call 的舊機器」）邏輯很簡單：

• Source: 10.1.1.5

• Destination: 8.8.8.8

• Port: TCP 80 / 443

• Action: Allow

這種邏輯在 2005 年可能很神，但在 2026 年的今天，這簡直是開大門揖盜。為什麼？因為現在連阿嬤都知道，只要把病毒包在 HTTPS (Port 443) 裡面，你的防火牆就像瞎子一樣，摸著大象腿說這是一根柱子。

Palo Alto 的靈魂除了 Zone，另一個就是 App-ID。 它不看門牌（Port），它直接衝進屋子裡看你在幹嘛。

---

一、 Port 是騙人的，App 才是真的

很多剛從傳統防火牆轉過來的工程師（包括當年的我），最常問的一句話就是：

「良大，我明明開了 Port 80，為什麼網頁還是打不開？」

因為在 PA 的世界裡，Port 只是載體，App 才是本體。

想像一下，今天有一個外送員（流量）來到公司門口：

• 傳統防火牆思維： 「喔，你穿黃色制服（Port 80），進去吧。」（結果裡面包的是炸彈）。

• Palo Alto 思維： 「穿黃色制服是吧？把箱子打開。裡面是麥當勞（Web-browsing）？還是偽裝成麥當勞的非法無線電（BitTorrent）？」

如果你在 Policy 裡只寫了 Service Port 而沒有定義 Application，那你的 PA-1410 就只是在做「基礎重體力活」，完全浪費了它那顆強大的運算處理器。

二、 實戰演練：當主管叫你封鎖 Facebook，但又要留著發文功能

這是我最愛舉的例子，也是工程師最常遇到的「職場機車要求」。

在傳統防火牆，你要嘛全放，要嘛全擋。但在 PA-1410 裡，App-ID 讓你像拿著手術刀一樣精準。 在 Application 列表裡，你會發現 Facebook 不是一個 App，而是一群 App：

1. facebook-base（基本的瀏覽）

2. facebook-chat（聊天，這就是薪水小偷的來源）

3. facebook-posting（發文）

4. facebook-video（看影片，流量殺手）

工程師的優雅操作： 你只需要寫一條 Policy，把 facebook-chat 和 facebook-video 設為 Deny，保留 facebook-base。 明天主管過來就會說：「奇怪，為什麼我可以看公司粉專，但沒辦法看妹子的直播？一定是 FB 壞了。」 你只要推一下眼鏡，淡淡地說：「可能是最近海纜斷了吧。」

這就是 App-ID 帶給工程師的尊嚴。

三、 為什麼「Service: Any」是資安人的髒話？

在設定 Policy 時，新手最容易犯的罪就是為了省事，在 Service 欄位選 Any 或 Application-default。

讓我告訴你為什麼這很危險。 有些聰明的惡意軟體會故意走非標準 Port。例如，它用 Port 80 來跑 SSH 隧道。

• 如果你設 Service: Any 且 App: SSH，它就通了。

• 如果你設 Service: Application-default，PA 就會發現：「不對喔，SSH 應該走 Port 22，你現在走 Port 80？抓到你了，滾吧！」

良的溫馨提示： 永遠優先使用 Application-default。這意味著你強迫 Application 必須走在它該走的軌道上。不守規矩的流量，一律視為「非法入侵」。

四、 那些年，我們一起踩過的 App-ID 坑

雖然 App-ID 很強，但它也有脾氣。最常見的坑就是 「相依性 (Dependency)」。

你興沖沖地開了一條 Policy 給 Office365，結果發現 outlook 還是轉圈圈。 為什麼？因為 Office365 運作時，背後可能還需要 SSL、Web-browsing 甚至是 DNS。

解決心法：

1. 善用 Policy Optimizer： 讓 PA 跑個幾天，它會自動告訴你：「欸，我看這條流量其實還包含這幾個 App，你要不要順便補上去？」

2. 看 Log 是美德： 當流量不通時，不要一直改 IP，去看 Traffic Log。PA 會清清楚楚告訴你，這個流量被辨識為什麼 App，以及為什麼被丟掉。

五、 App-ID 之後：如何跟老闆解釋這台 PA-1410 買得很值？

身為工程師，我們不只要會做，還要會「演」。 當年度報表拿出來時，你不要只給他看 CPU 負載（老闆聽不懂）。你要給他看 「ACC (Application Command Center)」。

當你打開 ACC，畫面出現：

• 「本月攔截了 50,000 次試圖偽裝成 Web 的加密隧道。」

• 「辨識出 200 種未授權的雲端硬碟應用。」

• 「成功將頻寬從 YouTube 轉向了真正生產力工具。」

老闆會覺得你不是在管機器，你是在管「公司的數位資產」。這時候要談明年的維護費，或者是幫你自己爭取換個大一點的螢幕，勝算就高多了。

六、 結語：從「看門人」變成「引路人」

Zone 是領土，App-ID 就是規矩。 PA-1410 的強大，不在於它能撐多少 Gbps，而在於它能多細緻地理解你的流量。

PaloAlto_17 PA-1410 的世界觀建立：

 

Zone 先想清楚，防火牆才不會變成「有電的 Hub」

一句話先講清楚：
如果你在 Palo Alto 裡把 Zone 想錯了，
那你後面再怎麼寫 Policy，都是在幫未來的自己挖坑。

一、為什麼 Palo Alto 不是「介面防火牆」？

很多工程師第一次接觸 Palo Alto，內心都會有一個疑問：

「啊不就跟傳統防火牆一樣？
inside → outside → allow？」

錯。
Palo Alto 從一開始就不是用『介面』在思考世界的。

在它的宇宙裡，真正的主角只有一個：

👉 Zone（安全區域）

你可以把介面想成「門」，
但 Zone 才是「門後面是什麼世界」。

而 Palo Alto 所有的安全政策，都是在問一句話：

「哪個 Zone 的誰，要去另一個 Zone 幹嘛？」

二、定義 Zone：先想邏輯，不要急著點滑鼠

5️⃣ 定義 Zone（先想好邏輯）

在你還沒點進 Web UI 前，
請先拿一張紙（或心中的白板），問自己三個問題：

1. 誰是自己人？

2. 誰是外面來的？

3. 哪些人是「半生不熟」？

最基本、但 90% 公司都會用到的 Zone 架構

🔹 Trust（內部區域）

• 使用者電腦

• 內部 Server

• AD、NAS、ERP、File Server

• 工程師最愛、駭客最想進來的地方

一句話定義：

「我信任你，但還是會盯著你」

👉 Trust ≠ 無限制
👉 Trust = 預設比較乾淨，但還是要被管

🔹 Untrust（外網）

• Internet

• ISP

• 全世界的奇怪 IP

• 掃 Port 的、丟 Exploit 的、亂敲 SSH 的

一句話定義：

「我不認識你，也不想認識你」

👉 預設 全部拒絕
👉 只放你明確說 OK 的流量

🔹 DMZ（如果你有對外服務）

• Web Server

• Mail Server

• API Server

• 被外面打爆也不能拖垮內部的地方

DMZ 的精神是：

「你可以被打，但不能把火帶回家」

👉 DMZ 不等於 Trust
👉 DMZ 更不等於 Untrust

它是個：

「被嚴密監控的公開空間」

🔹 VPN（GlobalProtect）

• 在家工作的員工

• 出差連線的主管

• 半夜接到電話被叫起來修系統的工程師

VPN Zone 的特色是：

「人是自己人，但網路環境我不信任」

👉 筆電可能在：

• 咖啡廳

• 機場

• 飯店

• 小孩在旁邊看 YouTube

所以：

VPN Zone 通常權限比 Trust 少一點

三、為什麼說「Zone 是 Palo Alto 的靈魂」？

來，我們用一句很工程師的比喻。

傳統防火牆思維

Port 開了
IP 對了
就放行

像在看門牌號碼。

Palo Alto 思維

你是誰？
從哪裡來？
要去哪裡？
要做什麼應用？
風險高不高？

而這一切的第一個判斷條件，就是：

Zone → Zone

👉 沒有 Zone，就沒有 Policy 的意義
👉 Zone 設錯，Policy 再漂亮都沒用

四、Interface 設定：門開在哪，一定要搞清楚

6️⃣ Interface 設定（這裡是新手最容易翻車的地方）

Palo Alto 的實體介面很多：

• ethernet1/1

• ethernet1/2

• ethernet1/3 …

但請記住一句話：

介面只是硬體，Zone 才是身份

Step 1️⃣ 設定 Layer3 Interface

在 PA-1410 裡，最常見的是：

👉 Layer3 Interface

因為我們要它：

• 有 IP

• 會 Routing

• 能被安全政策管

Step 2️⃣ 指派到對應 Zone

這一步超重要，但也超多人亂做。

例如：

介面	正確 Zone
ethernet1/1	Untrust
ethernet1/2	Trust
ethernet1/3	DMZ
tunnel.1	VPN

錯誤示範：

「啊這條線接內網，就丟 Trust 好了」

不行。
你要問的是：

「這條線後面，是哪一個『世界』？」

Step 3️⃣ 設定 IP（這不是只是填數字）

IP 在 Palo Alto 裡不只是通訊用，它還代表：

• 這個 Zone 的 Gateway

• NAT 的基準點

• Policy 比對的參考

👉 IP 設錯，會出現以下症狀：

• Policy 明明寫了卻不通

• NAT 怎麼看都對，但就是連不上

• 工程師開始懷疑人生

五、實戰小劇場：Zone 想錯會發生什麼事？

🎭 情境一：把 VPN 放進 Trust

結果：

• VPN 使用者 = 內部員工

• 家裡 Wi-Fi 被入侵

• 駭客直接進內網

👉 老闆會問一句：

「防火牆不是很貴嗎？」

🎭 情境二：DMZ 跟 Trust 合在一起

結果：

• Web Server 被打

• 橫向移動

• AD 掛掉

• 全公司改密碼

👉 工程師的年終也一起不見

六、正確心法總整理（工程師版）

請把這幾句刻在心裡：

1. Zone 是邏輯，不是線路

2. 介面只是門，Zone 才是房間

3. 不同風險，一定要不同 Zone

4. Policy 永遠是 Zone → Zone

5. Zone 想清楚，後面 80% 的設定都會順

七、結語：PA-1410 不是難，是你還沒進入它的世界觀

很多人說 Palo Alto 難用，
其實不是它難，而是你還用著：

「傳統防火牆的腦袋」

一旦你理解：

• Zone 是世界

• Interface 是入口

• Policy 是規則

• App / User / Content 才是智慧

你會發現：

PA-1410 不是防火牆，是資安的邏輯引擎。

而這一切的起點，就只有一句話：

👉 Zone，是 Palo Alto 的靈魂。