Paloalto disable MGMT CBC ciphers & TLS 1.1
首先建立一個SSL/TLS Service Profile, 選擇Certificate, Self-sign或trusted certificate並便用最低TLSv1.2 預設只有2個設定 # show shared ssl-tls-service-profile AAAAAA protocol...
Posted inNetwork Sophos XG Firewall
Sophos XG HTTPS Decryption
我首先會按SSL/TLS inspection settings下載証書, 然後確定有打開SSL/TLS inspection 新增Decryption policy在最底, 由於我在家使用, 暫時只針對自己的電腦及iPhone 當新增Decryption policy後, 一定有部份app出現問題...
Posted inNetwork Sophos XG Firewall
Sophos XG SSLVPN 限時登入
先設定沒有時限的用戶 我的Policy rule比較小, 所以不喜歡使用Rule group 開放HTTPS和SSH會增加security風險, 請自行按需要選擇, User portal亦一樣 使用剛才建立的用戶登入User Portal 選擇需要的設定檔, 本文測試下載IOS設定檔然後email...
Paloalto 錯誤地提早按了Install
在一次升級準備的情怳下, 不小心提早按了Install, 而且在Install過程中找不到取消 比對一下沒有按Install的Active 不小心按了Install的Passive Reference https://knowledgebase.paloaltonetworks.com/KCSArt...
Paloalto Preview Changes Lines of Context
預設是前後10句, 即是會提出修改的設定, 還會顯示修改的設定上下各10句
Paloalto HA Firewall PanOS 8.1.x upgrade to 9.1.x
升級版本: 8.1.15-h3 -> 9.1.14-h1 預先下載: 8.1.24, 9.0.0, 9.0.16-h3, 9.1.0, 9.1.14-h1 安裝次序: 8.1.24 -> 9.0.16-h3 -> 9.1.14-h1 假設PA1是Active, PA2是Passiv...
Posted inPalo Alto
Paloalto DNS Sinkhole
使用DNS sinkhole將已知有問題的Domain更換Lookback IP, 避免用戶不小心進入有害的網址 在Anti-Spyware新增一個Profile名為DNS-Sinkhole 在外出Internet的Rule裏使用剛才建立的DNS-Sinkhole profile 更新一下, 需要D...
Posted inSophos XG Firewall
Sophos firewall XG nat 即時生效
剛測試的時候, 覺得Sophos為什麼NAT的設定好像有問題, 原來是要重設session才能生效 conntrack -D or conntrack -D -s {source pc ip}