前言:加密流量,是駭客最溫柔的掩護
如果你已經搞定了 Zone 的邏輯,也學會了用 App-ID 去抓應用程式,你可能會覺得自己現在就像機房裡的葉問,一個能打十個。
但我要潑你一盆冷水。
在 2026 年的今天,超過 90% 的網路流量都是加密的(HTTPS/TLS)。如果你沒有開啟 SSL Decryption (SSL 解密),你的 PA-1410 就算效能再強,在它眼裡,這些流量通通都長這樣:
[一團亂碼] -> [目的地] -> [又一團亂碼]
這就像是你身為機場安檢員,看到旅客提著一個「死鎖的保險箱」走進來。你問他裡面裝什麼,他說裝的是「個人隱私(HTTPS)」。你就揮揮手讓他過去了?這不叫資安,這叫佛系管理。
今天的 PaloAlto_19,我們要聊聊如何優雅地拆開這些保險箱,又不被旅客(使用者)投訴到爆。
一、 為什麼非「拆」不可?(SSL 解密的必要性)
很多老闆(甚至有些資深工程師)會問:「解密很耗效能耶,真的有必要嗎?」
我通常會回他一個情境: 如果有一個員工,從家裡的雲端硬碟下載了一個包著 Cobalt Strike(木馬) 的檔案,並且這個檔案是透過 HTTPS 傳輸的。
沒開解密: PA 只看到
App: web-browsing,流量通過。恭喜你,內網中毒了。開了解密: PA 會在防火牆中間把流量拆開,用 Content-ID 掃描裡面的位元組。發現病毒,直接攔截。
一句話總結:不開解密,你的進階威脅防禦(IPS、WildFire)就跟裝飾品沒兩樣。
二、 實戰操作:PA-1410 的「中間人」演技
SSL 解密的原理其實就是合法的「中間人攻擊 (Man-in-the-Middle)」。
使用者想連到 Google。
PA-1410 攔截請求,自己偽裝成 Google 發一個憑證給使用者。
PA-1410 另外去跟真正的 Google 連線。
這中間最容易翻車的地方就是:憑證 (Certificate)。
如果你的使用者電腦不信任 PA 發出來的那張「代理憑證」,他們打開瀏覽器就會看到滿螢幕的「您的連線不是私密連線」。接著,你的分機就會被打爆,主管會站在你背後,問你為什麼公司網路壞了。
良的避坑指南:
一定要透過 AD GPO 派送憑證: 讓全公司的電腦預設信任 PA 的 Sub-CA 憑證。
手機與 IoT 設備是地雷: 這些東西很難塞憑證進去,建議先排除在解密清單外,不然你的報修單會接到手軟。
三、 哪些東西打死都不能解?(Decryption Exclusion)
做 SSL 解密不能像推土機一樣全推平,有些東西解密了會出大事(甚至有法律責任):
金融銀行類 (Financial Services): 你解密員工的網銀帳密?這在某些法規下是違法的。
醫療與隱私 (Health and Medicine): 同上,別給自己找麻煩。
政府網站: 有些政府憑證有特殊檢查機制,解密後會直接斷線。
不支援解密的 App: 例如 Dropbox 或某些特定的手機 App,它們會檢查憑證的「指紋」(Certificate Pinning),一旦發現中間有人動手腳,就直接擺工。
工程師的專業溫柔:
在 PA 的 Decryption Policy 裡,記得最上面要疊一層 No-Decrypt 的規則,把這些敏感類別通通排除。
四、 效能與「爆機」的恐懼
「解密會讓防火牆變慢」這不是傳聞,這是物理規律。解密需要大量的數學運算。 好在我們用的是 PA-1410,它有專門的硬體加速晶片處理這塊。但即便如此,你還是要監控你的 DP CPU (Dataplane CPU)。
如果有一天你發現解密開下去,CPU 飆到 90%,請不要驚慌,這時候你有兩個選擇:
縮小範圍: 只解密「最危險」的類別(例如:Web-browsing, Unknown-tcp)。
升級硬體: 拿著數據去找老闆,說我們需要更高階的型號了。(這也是幫自己爭取預算的好機會)。
五、 結語:資安就是一場「透明度」的戰爭
SSL 解密很痛苦,部署過程會有很多雜音,甚至會讓你懷疑人生。但一旦你熬過去,你會發現你的 Traffic Log 變得很清澈。
你會看到:
本來是
SSL的流量,現在顯示為Google-base。原本藏在加密流量裡的惡意檔案,被 WildFire 準確擊落。
員工在上班時間偷偷用加密代理跳牆,被你一秒抓到。
資安工程師的價值,就在於你能看到別人看不見的東西。