SSL检查策略
SSL检查
访问策略视图 > SSL检查部分 >策略页面可以启用和配置SSL检查。当开启此设置后,系统就会允许支持SSL检查的各种软件刀片检查由安全套接字层(SSL)协议加密的流量。为了允许网关检查安全连接,网关后面的所有主机必须安装网关CA证书。
支持SSL流量检测
UserCheck规则操作允许流量和文件进入内部网络并记录它们。的软件刀片:
|
|
重要提示- 你不能同时使用智能加速和SSL检测。 |
部署SSL检查
要部署SSL检查:
-
选择“SSL流量检查”。
-
点击“下载CA证书”,下载网关的内部CA证书。
注意- 该证书对网关上的所有用户都可用。你不需要管理员凭证。如果你没有管理员证书,请从内部或无线网络连接到
http://my.firewall/icahttps://<IP_Address_of_Appliance>/ica。你必须在网关后面的每个客户上安装这个证书。
要安装该证书:
-
手动复制证书文件到你的电脑。
-
在Windows PC中,点击该文件并按照向导的指示将证书添加到受信任的根认证机构存储库中。
注意- 这不是证书导入向导中的默认存储库。
证书的安装根据操作系统的不同而不同。要了解如何在你的机器上安装证书,请参阅你的操作系统供应商的说明。
SSL检查默认使用现有的内部CA。要使用你自己的证书,你必须替换内部CA。
要更换内部CA:
-
转至证书>内部证书页面。
-
点击“替换内部CA”。
打开 "上传P12证书"窗口。
-
点击浏览,选择证书文件。
-
输入证书名称和密码。
-
通常情况下,设备会提示自己的主机名称(当配置了DDNS时)或其外部IP地址。如果你配置了多个互联网连接,在负载共享模式下,你可以为该设备手动输入一个可访问的IP地址。这被远程站点用来访问内部CA并检查证书的撤销情况。
-
点击“应用”
SSL检查绕过策略
你可以选择绕过所有可能的流量的类别,无论其来源和目的地。如要配置更高级的例外情况,请进入“SSL检查例外情况”页面进行操作。
要配置SSL检查旁路策略:
-
在“要检查的协议”部分 - 选择“检查HTTPS、IMAPS或POP3S协议”。
-
在要检查的资产部分 - 选择按类型检查设备:台式机、笔记本电脑、计算机(R81.10.05及更高版本)、其他资产和所有资产。只有当设备没有被其他设置绕过时才会被检查。
-
在 "要绕过的无线网络"中,选择或清除需要绕过的无线网络。默认情况下选择不受信任的网络。
注意- 无线网络必须分配给独立网络,而不是交换机或网桥。
-
在绕过以下类别的SSL检查部分 >类别- 类别包括健康、政府/军事、金融服务和知名更新服务。选择或清除无需检查的隐私相关类别。默认选择除媒体流以外的所有类别。
-
在绕过以下类别的SSL检查部分 >要绕过的资产- 选中MacOS复选框以绕过macOS设备。这加快了连接的速度。
-
按MAC绕过- 点击从活动设备表中按MAC地址选择设备。
-
按IP绕过- 点击配置例外,以绕过SSL检查表中特定IP地址的SSL检查策略。
-
-
"跟踪"部分 - 选择启用日志以查看SSL检查策略决定("检查"或"绕过")。
注意- 除了软件刀片日志,SSL检查还会生成这些日志。
要添加其他类别:
|
|
注意-“绕过”复选框在默认情况下被选中。 |
-
点击”其他类别和网站“。
这时会出现 "SSL检查绕过其他"窗口。
-
选择所需的项目。
-
可选的- 点击"新建 "来添加URL或自定义应用程序。
-
点击“应用”
HTTPS的分类
作为SSL检查的一个替代方案,你可以启用HTTPS分类。
HTTPS分类允许过滤指定的HTTPS URL和应用程序,而不需要激活SSL流量检测。
欲了解更多信息,请参阅Small Business Security video channel 上的HTTPS Inspection video。
要启用HTTPS分类:
-
选择“HTTPS分类”。
注意- 当你启用HTTPS分类时,SSL选项不可用。
-
单击 "配置"。
打开访问策略>防火墙刀片控制页面。
-
配置URL过滤的设置。
注意- HTTPS分类只适用于打开URL过滤刀片的情况。
要禁用SSL检查和HTTPS分类:
选择“关闭”。
SSL绕过机制的升级包括:
-
停止对被绕过的站点的第一个连接的检查。
-
允许绕过非浏览器应用程序的连接。
-
允许绕过与需要客户证书的服务器的连接。
-
新的探测机制消除了检查到一个IP地址的第一个连接的需要,除非是策略要求。
IMAPS
互联网信息访问协议(IMAP)是一个互联网标准协议,由电子邮件客户使用,通过TCP/IP连接从邮件服务器检索电子邮件信息。IMAPS指的是通过SSL的IMAP。
必须激活SSL流量检测以扫描HTTP和IMAP加密流量。