43-HTTPS解密
本章节下载: 43-HTTPS解密 (534.75 KB)
目 录
随着市场网络安全的发展,越来越多的客户将原有的http业务逐步的迁移到https上,这样很大程度上保证了客户访问网络的安全,数据不会轻易的被第三方窥视。这样网络管理员很大程度上,很难得到内网用户访问外网的相关数据。对企业,集团内网有很大的风险。基于此客户对行为管理产品的厂商提出要求,需要设备能够解密客户https的流量,从而完成对原有https流量的审计功能。
解密策略对设备的入接口、源IP、目的IP、https对象进行访问控制,主要是对使用SSL协议传输的流量做审计,支持HTTPS、邮箱类审计功能,并产生审计日志。
解析DNS报文,设备获取DNS回应报文,匹配解密策略的源地址组,解析出域名对应的IP,往当前策略上添加IP域名信息。
转发报文流经设备,判断TCP 443、995、993、465端口进入解密策略匹配流程。依次匹配入接口、源地址对象、目的地址对象、若为443端口判断目的IP是否存在于DNS解析的IP中,若均匹配上,则上送到本机代理进程。
代理进程建立双向SSL连接,并对数据进行加解密,解密后的数据封装后送入审计流程。
https站点解密:
系统内置的站点支持https解密功能,目前系统提供128个常见的站点域名,并且客户可以根据自己的需要自定义10个域名。使用设备自带的证书签发功能,或支持导入第三方证书,并被解密策略引用生效。用户证书一旦被解密策略引用,在证书过期之前,策略中包含的其它域名即可顺利的完成浏览。
解密功能提供特定站点排除功能以及源地址排除的功能,针对排除的地址和站点不做https的解密,两者之间是或的关系,只要一个满足即排除不做解密,源地址排除功能使用地址对象配置。
系统自带的站点格式举例:
· www.baidu.com
· www.taobao.com
· www.jd.com
· www.sogou.com
· www.so.com
· www.taobao.com
· www.amazon.cn
邮箱解密:
该功能目前只针对如下常见邮箱提供解密:QQ(个人,企业),网易(163/126),标准的pop3(995)、imap(992)和smtp(465)同时开启ssl加密的邮箱。
数据审计:
· 符合解密策略的数据全部上送审计模块完成审计,上送审计模块的全部是完成解密的明文数据。
· 符合解密策略的邮件,全部上送到审计模块,在完成审计的同时还支持基于关键字的过滤功能。保证内网用户的绝密信息不外泄。
证书管理:
· 设备自身支持证书签发的能力,可以为ipsecvpn,https解密等功能签发相关证书。
· 支持证书导入导出的功能,方便证书的管理,并且可导入第三方证书。解密策略在用户证书中选取一个证书使用,且支持证书之间的切换,证书被其它模块引用时仍可被解密策略引用。
在导航栏中选择“对象管理>URL>HTTPS对象”进入HTTPS对象显示界面,如图1-1所示。
图1-1 HTTPS对象显示界面
HTTPS对象的含义如表1-1所示。
表1-1 HTTPS对象显示信息描述表
参数 |
说明 |
新建 |
新建显示信息描述表 |
删除 |
删除显示信息描述表 |
编辑 |
编辑显示信息描述表 |
单击<新建>按钮,进入HTTPS对象配置界面,如图1-2所示。
图1-2 HTTPS对象配置界面
HTTPS对象详细配置说明,如表1-2所示。
表1-2 HTTPS对象策略详细配置
参数 |
说明 |
名称 |
名称 |
描述 |
描述 |
自定义https对象 |
自定义https地址对象 |
已选预定分类 |
预定义的HTTPS地址对象 |
在导航栏中选择“对象管理>CA服务器>根CA配置管理”,进入本地证书显示界面,如图1-3所示。
图1-3 根CA配置管理显示界面
根证书管理界面详细说明,如表1-3所示。
表1-3 根CA管理界面详细
参数 |
说明 |
生成CA根证书 |
生成CA根证书 |
导入CA根证书 |
导入CA根证书 |
导出CA根证书 |
导出CA根证书 |
单击“生成CA根证书”,进入生成CA根证书界面,如图1-4所示。
图1-4 生成CA根证书
表1-4 生成CA证书详细说明
参数 |
说明 |
证书名称 |
证书名称 |
可选信息 |
详细信息 |
有效期 |
CA证书的有效期 |
密码 |
CA证书的秘钥 |
秘钥大小 |
秘钥大小 |
在导航栏中选择“对象管理>本地证书>证书”,进入本地证书显示界面,如图1-5所示。
本地证书详细配置说明,如表1-5所示。
参数 |
说明 |
导入 |
导出证书 |
详细信息 |
证书详细信息 |
导出 |
导出证书 |
删除 |
删除证书 |
在启用栏中选择“上网行为管理>策略配置>IPV4策略”,进入安全策略显示界面,如图1-6所示。
IPV4策略的含义如表1-6所示。
表1-6 IPV4策略显示详细
参数 |
说明 |
状态 |
策略的状态: |
ID |
策略的ID |
源接口 |
匹配安全策略的源接口 |
目的接口 |
匹配安全策略的目的接口 |
源地址 |
匹配安全策略的源地址 |
目的地址 |
匹配安全策略的目的地址 |
服务 |
匹配安全策略匹配的服务对象 |
应用 |
匹配安全策略匹配的应用对象 |
用户 |
匹配安全策略匹配的用户对象 |
匹配次数 |
匹配安全策略的次数 |
应用安全 |
|
时间 |
匹配安全策略的匹配时间对象 |
日志 |
安全策略是否记录日志 |
老化时间 |
基于策略的老化时间,缺省情况下,老化时间为0,表示使用各个协议默认的老化时间 |
单击<新建>按钮,进入安全策略配置界面,如图1-7所示。
图1-7 IPV4策略配置界面
策略详细配置说明,如表1-7所示。
表1-7 IPV4策略详细配置
参数 |
说明 |
行为 |
策略的动作是: · 审计,对匹配条件的会话进行应用审计 · 免审计,对匹配条件的会话免审计 · 拒绝,阻断命中匹配条件的会话 |
老化时间 |
基于策略的老化时间配置,缺省情况下,默认值为0,表示使用各个协议默认的老化时间 |
启用 |
策略启用和禁用,勾选表示开启策略,不勾选表示禁用策略 |
用户 |
匹配安全策略的用户对象 |
源接口/域 |
安全策略指定的源接口 |
目的接口/域 |
安全策略指定的目的接口 |
源地址 |
匹配安全策略的源地址 |
目的地址 |
匹配安全策略的目的地址 |
时间 |
安全策略匹配的时间对象 |
服务 |
安全策略匹配的服务对象 |
应用 |
安全策略匹配的应用对象 |
应用审计 |
应用审计 |
URL审计 |
URL审计 |
恶意站点 |
是否过滤 |
在导航栏中选择“上网行为管理>解密策略”,进入解密策略显示界面,如图1-8所示。
解密策略配置详细说明,如表1-8所示。
参数 |
说明 |
新建 |
新建解密策略 |
删除 |
删除解密策略 |
启用 |
启用解密策略 |
禁用 |
禁用解密策略 |
证书列表 |
选择引用证书 |
编辑 |
编辑解密策略 |
删除 |
删除解密策略 |
单击<新建>按钮,进入解密策略配置界面,如图1-9所示。
解密策略详细配置说明,如表1-9所示。
参数 |
说明 |
启用 |
启用解密策略 |
源接口 |
匹配解密策略 |
源地址 |
匹配解密策略的源地址 |
目的地址 |
匹配解密策略的目的地址 |
解密类型 |
选择站点解密或邮箱解密 |
HTTPS密或 |
站点解密所需引用创建的HTTPS对象 |
排除站点 |
排除的站点不进行审计 |
在ge3口上开启解密策略,记录审计日志。
图1-10
在导航栏中选择“对象管理>URL>HTTPS对象”,单击<新建>按钮,进入HTTPS对象配置界面,如图1-11所示。
图1-11 HTTPS对象配置界面
在导航栏中选择“对象管理>本地证书>证书”,单击<导入>按钮,进入导入证书配置界面,如图1-12所示。
在导航栏中选择“上网行为管理>策略配置>IPV4策略”,单击<新建>按钮,进入IPV4策略配置界面,如图1-13所示。
图1-13 IPV4对象配置界面
在导航栏中选择“上网行为管理>解密”,单击<新建>按钮,进入解密策略配置界面,如图1-14所示。
在解密策略显示界面引用“https.cer”证书,如图1-15所示。
进入日志,查看搜索引擎日志,如图1-16所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!