我想禁用 F5 大 IP 上所有早于 TLS 1.2 的版本,并且在执行此操作之前,我想报告所有使用旧密码的服务器以进行补救。
即使这只是一个 IP 地址列表,或者一个我可以解析的调试输出,或者我如何获取类似的数据来完成相同的操作?
答案1
您可以设置 iRule,它将记录与远程日志服务器的连接。这将需要 syslog 服务器和包含它的池。您可以记录所有 TLS 类型,以了解哪些主机正常以及哪些需要升级,它还有助于生成报告:
when HTTP_REQUEST { set hsl [HSL::open -proto UDP -pool syslog_server_pool] set time [clock format [clock seconds] -format "%d/%b/%Y:%H:%M:%S %Z"] if {[SSL::cipher version] equals "TLSv1"} { HSL::send $hsl "TLSv1 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]" } if {[SSL::cipher version] equals "TLSv1.1" } { HSL::send $hsl "TLSv1.1 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]" } if {[SSL::cipher version] equals "TLSv1.2" } { HSL::send $hsl "TLSv1.2 Request Detected: Time = $time, Client IP:Port = [IP::client_addr]:[TCP::client_port], F5 VIP:Port = [clientside {IP::local_addr}]:[clientside {TCP::local_port}]" } }