После того как мы разобрались, что 60-80% трафика на периметре идет по SSL/TLS, то теперь новая проблема: все больше трафика на периметре идет по HTTP/2.
HTTP/2 использует одно TCP соединение, для передачи нескольких файлов с сайта. Это ускоряет работу браузера и одновременно усложняет работу средствам защиты. Подробнее про HTTP/2 тут https://www.cossa.ru/152/129649/
Проверьте в своем межсетевом экране как он проверяет HTTP/2 и есть ли в нем анализаторы для HTTP/2.
https://www.ssllabs.com/ssl-pulse/ считает, что уже 46,3% трафика это HTTP/2
Для примера, это список приложений на Palo Alto Networks NGFW, которые используют HTTP/2 у меня дома
ApplicationBytesweb-browsing1322877331facebook-video951668819youtube-uploading168097106gmail-base131868186facebook-base121796345google-base108236643twitter-base83510736youtube-base81062086clearspace43943037gmail-posting23669733google-maps19082103google-play13946745draw.io-base9640522google-calendar-base9391347google-hangouts-chat9365192evernote-base8587980vkontakte-base8018966google-hangouts-base7970178slack-base7687055facebook-posting6703854gmail-downloading5238196instagram-base3703381google-app-engine2830855blogger-blog-posting2484407mail.ru-base2067201google-analytics2064223evernote-downloading1707771gmail-uploading1152825facebook-social-plugin1103539google-hangouts-audio-video925118google-cloud-storage-base643062pinterest-base593854flickr-base585384vimeo-base570248google-docs-base542159twitch285885facebook-chat218770cloudinary-base174181google-update139202twitter-uploading136396zendesk-base84180yahoo-web-analytics74596windows-azure-base48229zoom-base35176quora-base30649rss28858hubspot26131google-docs-editing25906google-plus-base23087appdynamics21425youtube-posting20795linkedin-base19762youtube-streaming16372twitter-posting11722lastpass11361dropbox-base11228office365-consumer-access8126soundcloud-base2284
И важно, что HTTP/2 должен использовать TLS 1.2, поэтому вы не просто будете искать атаки и вирусы внутри HTTP/2, а еще и внутри TLS 1.2.
Напомню, что расшифровать весь TLS трафик не получится, потому что не все приложения согласны на вскрытие SSL и используют SSL Pinning и проверку клиентских сертификатов. Плюс в своей компании вы еще и ограничены законодательством: нельзя расшифровывать банковские данные, данные медицинских анализов и др.
