- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
30-HTTPS解密
本章节下载: 30-HTTPS解密 (622.31 KB)
目 录
随着市场网络安全的发展,越来越多的客户将原有的http业务逐步的迁移到https上,这样很大程度上保证了客户访问网络的安全,数据不会轻易的被第三方窥视。这样网络管理员很大程度上,很难得到内网用户访问外网的相关数据。对企业,集团内网有很大的风险。基于此客户对行为管理产品的厂商提出要求,需要设备能够解密客户https的流量,从而完成对原有https流量的审计功能。
解密策略对设备的入接口、源IP、目的IP、https对象进行访问控制,主要是对使用SSL协议传输的流量做审计,支持HTTPS、邮箱类审计功能,并产生审计日志。
由于SSL流量是加密传输的,设备无法对加密的数据进行深度安全检测、审计等。所以HTTPS解密的本质就是对通过设备的报文进行SSL代理,本设备可通过配置解密策略来实现对所需要的流量进行SSL代理。
图1-1 SSL代理功能示意图
如上图所示,设备将与解密策略过滤条件匹配成功的报文进行SSL代理,即分别与客户端和服务器建立SSL连接,然后对传输的报文先进行解密,再进行深度安全检测或者审计。完成流量审计后,对放行的报文重新进行加密,并发送到目的服务器。
一个解密策略基本由过滤条件(包括入接口、源地址、目的地址等)和解密类型(即解密的对象)两部分组成,设备只会对于符合过滤条件的流进行解密。
设备上可以配置多条解密策略,其按照配置顺序从上到下进行匹配,当报文与某条策略匹配成功后,则根据此条解密策略进行报文解密,不再进行后续解密策略的匹配。基于以上的匹配原则,配置解密策略时建议按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
设备支持的过滤条件包括:入接口、源地址、目的地址和HTTPS对象。其中HTTPS对象过滤条件仅支持在HTTPS解密类型中进行配置。一个解密策略中过滤条件之间是与的关系。
实现SSL代理的本质就是通过设备在Client和Server之间进行证书管理。通过证书管理设备可以分别与Client和Server建立SSL连接,从而对数据进行解密。
使用设备自带的证书签发功能,或支持导入第三方证书,并被解密策略引用生效。用户证书一旦被解密策略引用,在证书过期之前,策略中包含的其它域名即可顺利的完成浏览。
· 设备自身支持证书签发的能力,可以为ipsecvpn,https解密等功能签发相关证书。
· 支持证书导入导出的功能,方便证书的管理,并且可导入第三方证书。解密策略在用户证书中选取一个证书使用,且支持证书之间的切换,证书被其它模块引用时仍可被解密策略引用。
目前此功能支持的解密类型有HTTPS流量和邮箱流量。
配置此种解密类型时,需要保证客户端的DNS报文经过设备,解密策略才能正常匹配生效,若DNS报文不经过设备的话,由于获取不到域名与IP的对应关系,这样经过设备的https域名站点的报文的目的IP与配置的HTTPS对象中域名解析的IP匹配不上,无法进入到解密流程从而也就无法解密。
系统内置的站点支持https解密功能,目前系统提供128个常见的站点域名,并且客户可以根据自己的需要自定义10个域名。
系统自带的站点格式举例:
· www.baidu.com
· www.taobao.com
· www.jd.com
· www.sogou.com
· www.so.com
· www.taobao.com
· www.amazon.cn
该功能目前只针对如下常见邮箱提供解密:QQ(个人,企业),网易(163/126),标准的pop3(995)、imap(993)和smtp(465)同时开启ssl加密的邮箱。
当设备只需要进行邮箱解密,而不需要HTTPS流量解密时,不需要DNS流量经过设备。
解密功能提供特定站点排除功能以及源地址排除的功能,针对排除的地址和站点不做https的解密,两者之间是或的关系,只要一个满足即排除不做解密,源地址排除功能使用地址对象配置。
解密的结果是为了可以对报文中的数据进行审计:
· 符合解密策略的数据全部上送审计模块完成审计,上送审计模块的全部是完成解密的明文数据。
· 符合解密策略的邮件,全部上送到审计模块,在完成审计的同时还支持基于关键字的过滤功能。保证内网用户的绝密信息不外泄。
在导航栏中选择“上网行为管理>对象管理>URL>HTTPS对象”进入HTTPS对象显示界面,如图1-2所示。
图1-2 HTTPS对象显示界面
HTTPS对象的含义如表1-1所示。
表1-1 HTTPS对象显示信息描述表
|
参数 |
说明 |
|
新建 |
新建显示信息描述表 |
|
删除 |
删除显示信息描述表 |
|
编辑 |
编辑显示信息描述表 |
单击<新建>按钮,进入HTTPS对象配置界面,如图1-3所示。
图1-3 HTTPS对象配置界面
HTTPS对象详细配置说明,如表1-2所示。
表1-2 HTTPS对象策略详细配置
|
参数 |
说明 |
|
名称 |
名称 |
|
描述 |
描述 |
|
自定义https对象 |
自定义https域名对象 |
|
已选预定分类 |
预定义的HTTPS域名对象 |
在导航栏中选择“上网行为管理>证书管理>根CA配置管理”,进入本地证书显示界面,如图1-4所示。
图1-4 根CA配置管理显示界面
根证书管理界面详细说明,如表1-3所示。
表1-3 根CA管理界面详细
|
参数 |
说明 |
|
生成CA根证书 |
生成CA根证书,为解密策略进行服务 |
|
导入CA根证书 |
导入CA根证书,此CA证书可以是设备上生成的,也可以是从外部CA证书导入的 |
|
导出CA根证书 |
导出CA根证书,可以为其它设备使用 |
单击“生成CA根证书”,进入生成CA根证书界面,如图1-5所示。
图1-5 生成CA根证书
表1-4 生成CA证书详细说明
|
参数 |
说明 |
|
证书名称 |
证书名称 |
|
可选信息 |
详细信息 |
|
有效期 |
CA证书的有效期 |
|
密码 |
CA证书的秘钥 |
|
秘钥大小 |
秘钥大小(bit) |
在导航栏中选择“上网行为管理>证书管理>证书>本地证书”,进入本地证书显示界面,如图1-6所示。
本地证书详细配置说明,如表1-5所示。
|
参数 |
说明 |
|
导入 |
导入证书 |
|
详细信息 |
证书详细信息 |
|
导出 |
导出证书 |
|
删除 |
删除证书 |
在导航栏中选择“上网行为管理>解密策略”,进入解密策略显示界面,如图1-7所示。
解密策略配置详细说明,如表1-6所示。
|
参数 |
说明 |
|
新建 |
新建解密策略 |
|
删除 |
删除解密策略 |
|
启用 |
启用解密策略 |
|
禁用 |
禁用解密策略 |
|
证书列表 |
选择引用证书,解密功能作为HTTPS代理,设备作为服务端需要此证书用来和客户端做SSL握手,为通信数据加解密 |
|
编辑 |
编辑解密策略 |
|
删除 |
删除解密策略 |
单击<新建>按钮,进入解密策略配置界面,如图1-8所示。
解密策略详细配置说明,如表1-7所示。
|
参数 |
说明 |
|
启用 |
启用解密策略 |
|
入接口 |
匹配入接口,表示从此接口收到的流量才会进行HTTPS解密 |
|
源地址 |
匹配解密策略的源地址,表示符合此源地址的流量才会进行HTTPS解密 |
|
目的地址 |
匹配解密策略的目的地址,表示符合此目的地址的流量才会进行HTTPS解密 |
|
解密类型 |
选择https解密或邮箱解密 |
|
HTTPS对象 |
只有匹配此HTTPS对象中域名的流量,才进行HTTPS解密 |
|
排除站点 |
排除的站点不进行审计 |
设备上可以配置多条审计策略,其按照配置顺序从上到下进行匹配,当报文与某条策略匹配成功后,则根据此条解密策略进行报文解密,不再进行后续解密策略的匹配。基于以上的匹配原则,配置解密策略时建议按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
审计策略过滤条件之间是与的关系。
通过菜单“上网行为管理 > IPV4审计策略”,进入IPV4审计策略显示页面,如图1-9所示。IPV4审计策略页面显示项含义如表1-8所示。
图1-9 IPV4审计策略显示页面
表1-8 IPV4审计策略显示页面含义表
|
标题项 |
说明 |
|
状态 |
策略的状态: · · |
|
ID |
审计策略ID。 |
|
用户 |
匹配IPV4审计策略的用户对象,可以在策略外点进去单独进行编辑。 |
|
源接口/域 |
匹配IPV4审计策略的源接口/域,可以在策略外点进去单独进行编辑。 |
|
目的接口/域 |
匹配IPV4审计策略的目的接口/域,可以在策略外点进去单独进行编辑。 |
|
源地址 |
匹配IPV4审计策略的源地址,可以在策略外点进去单独进行编辑。 |
|
目的地址 |
匹配IPV4审计策略的目的地址,可以在策略外点进去单独进行编辑。 |
|
终端 |
匹配IPV4审计策略的终端类型。 |
|
描述 |
IPV4审计策略描述。 |
|
匹配次数 |
匹配IPV4审计策略的次数。 |
|
审计对象 |
匹配IPV4审计策略的审计对象。 |
|
时间 |
此审计策略的生效时间范围,只有在指定范围内才生效。 |
|
操作 |
修改:对当前IPV4审计策略进行编辑修改操作。 删除:对当前IPV4审计策略进行删除操作。 |
单击<新建>按钮,进入IPV4审计策略配置页面,如图1-10、图1-11、图1-12所示。
图1-10 IPV4审计策略详细配置页面1-基础配置
图1-11 IPV4审计策略详细配置页面2-审计对象
图1-12 IPV4审计策略详细配置3-高级配置
IPV4审计策略详细配置含义如表1-9所示。
表1-9 IPV4审计策略详细配置
|
标题项 |
说明 |
|
启用 |
新建策略默认勾选该项,表示策略启用;不勾选表示禁用状态。 |
|
描述 |
IPV4审计策略描述。 |
|
用户 |
匹配IPV4审计策略的用户对象。 |
|
接口 |
匹配IPV4审计策略的源目的接口/域。 |
|
源地址 |
匹配IPV4审计策略的源地址。 |
|
目的地址 |
匹配IPV4审计策略的目的地址。 |
|
HTTP |
HTTP类审计对象,可以对HTTP类行为进行审计,主要包括网页访问、网络社区、网页搜索、HTTP文件上传下载、web网盘文件上传下载审计。 |
|
邮件 |
邮件类审计对象,可以对邮件类行为进行审计,主要包括SMTP、POP3、IMAP、Webmail收发邮件及附件审计。 |
|
即时通讯 |
即时通讯类审计对象,主要包括常用通讯软件QQ、微信、飞信等登录账号审计,以及收发消息行为审计,还有其它类通讯软件登录行为审计。 |
|
基础协议 |
基础协议类审计对象,主要包括FTP登录上传下载文件审计。 |
|
娱乐股票 |
娱乐股票类审计对象,主要包括娱乐股票类应用登录账号以及评论类审计。 |
|
网络应用 |
网络应用类审计对象,主要包括出上面具体应用行为外的其它一些应用行为进行审计。 |
|
时间 |
匹配IPV4审计策略的时间对象。 |
|
日志级别 |
IPV4审计策略日志记录级别,默认是信息级别,可以根据需求配置日志级别。 |
|
终端 |
匹配IPV4审计策略终端类型,默认是any所有终端类型,可以根据需求配置终端类型进行审计。 |
在ge3口上开启解密策略,记录审计日志。
图1-13 解密策略配置举例组网图
在导航栏中选择“上网行为管理>对象管理>URL对象>HTTPS对象”,单击<新建>按钮,进入HTTPS对象配置界面,如图1-14所示。
图1-14 HTTPS对象配置界面
在导航栏中选择“上网行为管理>证书管理>证书>本地证书”,单击<导入>按钮,进入导入证书配置界面,如图1-15所示。
在导航栏中选择“上网行为管理> IPV4审计策略”,单击<新建>按钮,进入IPV4策略配置界面,如图1-16所示。
图1-16 IPV4审计策略配置界面
在导航栏中选择“上网行为管理>解密策略”,单击<新建>按钮,进入解密策略配置界面,如图1-17所示。
在解密策略显示界面引用“https.cer”证书,如图1-18所示。
进入“数据中心>审计日志”,查看搜索引擎日志,如图1-19所示。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
