- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
04-解密策略典型配置举例
本章节下载 (1.13 MB)
本文档介绍F1000-ServerBlade设备解密策略配置举例,解密策略对通过设备的入接口、源IP、目的IP、HTTPS对象进行访问控制,主要是对使用SSL协议传输的流量做控制。支持HTTPS、邮箱类应用控制功能,并产生日志。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解解密策略特性。
· 当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
· HTTPS解密策略所需证书为CA证书。
· 部分邮箱客户端(网易邮箱大师/闪电邮)的SMTP是使用的TLS加密,TLS加密不支持解密。
· 部分HTTPS站点的客户端会进行证书校验,会显示非安全连接。
如图1所示,某公司内网存在测试网段和办公网段,IP地址分别为192.10.1.0/24和172.16.10.0/24。使用设备的npi3和ge3接口路由模式部署在网络中,设备作为出口网关设备,下联二层交换机。在设备上启用解密策略功能。
· 配置HTTPS对象;
· 生成CA证书;
· 导入本地证书;
· 启用IPV4安全策略,开启应用过滤和URL过滤;
· 启用解密策略;
· 引用证书。
· 解密策略用的证书为CA证书,先在CA服务器生成证书,再导出证书至本地。
· DNS回应报文IP地址解析。443端口的站点(包含网页版邮箱)解密,需首先把站点域名转化为IP地址,作为流量过滤条件,只有符合条件的HTTPS流量进入解密流程。
· 代理模块需要和客户端建立SSL连接,因此需要给客户端推送证书,设备需要支持证书签发功能及导入导出功能,且可以被解密策略引用。解密策略可根据当前导入的证书选择使用哪个证书。
· 邮箱类解密分为网页版邮箱和客户端版邮箱。网页版邮箱内置需要审计的域名对用户不可见,对外通过配置说明文档体现网页版邮箱支持规格。客户端邮箱解密支持SMTP、POP3、IMAP协议。有些SMTP使用的TLS加密不支持审计。
· 如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。
如图2所示,使用http或HTTPS的方式登录设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图2 登录Web网管
如图3所示,进入“资源管理>URL>HTTPS对象”,点击<新建>。
如图4所示,创建成功的HTTPS对象配置如下:
图4 HTTPS对象配置成功
如图5所示,进入“资源管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。
图5 生成CA根证书
如图6所示,在生成CA证书以后,导出证书。.
图6 导出CA证书
如图7所示,进入“资源管理>本地证书>证书”,点击<导入>,选择之前生成的CA证书。
如图8所示,导入成功的证书如下:
如图9所示,进入“防火墙>安全策略>IPV4安全策略”,点击<新建>,配置安全策略。
图9 启用IPV4安全策略
选择“应用过滤”标签页,单击<新建>按钮,进入应用过滤配置界面,如图10所示。
如图11所示,进入“防火墙>解密策略”,点击<新建>,配置解密策略。
如图12所示,创建成功的解密策略配置如下:
如图13所示,进入“防火墙>解密策略”,点击<证书列表>,引用生成证书。
如图14所示,访问百度等搜索引擎网站会被阻断
(1) 下载证书【https.cer】到PC。
(2) 双击打开证书【https.cer】,选择安装证书。
(3) 选择证书存储位置【二者皆可】
(4) 选择【将所有证书放入下列存储】
(5) 点击【浏览】选择【受信任的根证书颁发机构】然后【下一步】
(6) 确认信息点击【完成】
(1) 打开Firefox浏览器,选择【选项】
(2) 选择【高级】——【证书】——【查看证书】
(3) 进入【证书机构】——选择【导入】
(4) 选择【https.cer】点击【打开】
(5) 【全部勾选三个信任提示】——【确定】
(6) 确认导入的证书点击【确定】
注:浏览器导入证书需要清除缓存以后重新打开浏览器!
(1) 将证书放置http网站。
(2) 点击下载证书
(3) 下载成功后,选择“打开”证书。
(4) 证书安装器会弹出“为证书命名”,并且凭据用途要先选择“WLAN”。
(5) 凭据用途选择“VPN和应用”再安装一次。
(6) 进入手机“安全与隐私”,选择“受信任的凭据”中“用户”查看证书是否安装成功。
(7) 如果未成功,选择在“安全与隐私”中“从SD卡安装证书”,找到证书路径,重复上述步骤安装证书。
(1) 将证书放置http网站。
(2) 点击下载证书
(3) 选择“允许”后,iphone会直接跳转到安装界面。
(4) 选择“安装”
(5) 安装后描述文件显示“已验证”。
(6) 进入“通用”—“关于本机”—“证书信任设置”
(7) 在证书勾选信任。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
