- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
23-SSL解密策略
本章节下载: 23-SSL解密策略 (1.04 MB)
目 录
随着网络技术的快速发展,越来越多的企业或网站采用SSL对流量进行加密传输,从而保障数据传输的安全性和隐私性。而随之而来的是利用这种加密方式泄露企业敏感信息的可能性也越来越大,同时也为非法用户利用加密流量进行恶意网络攻击提供了可乘之机。而早期的安全设备无法对加密的数据进行安全检测和审计,成为企业网络安全的盲点。
通过在设备上配置SSL解密策略,对匹配成功的报文进行SSL代理,可以对加密流量进行解密,再对解密后的流量进行深度安全检测和审计。完成流量审计后,对放行的报文重新进行加密并发送到目的服务器,保障数据的安全。对于安全检测未通过的流量,进行阻断操作,有效拦截基于SSL的加密流量攻击。
设备的SSL解密功能支持客户端解密和服务器解密两种场景,用户可以根据实际的网络部署情况合理配置检测策略来决定哪些流量需要解密,哪些流量不解密。
保护客户端一般用于内网客户端访问外网服务器的场景,设备需要对加密流量进行安全检测,防止企业敏感信息通过加密方式传输出去,造成信息的泄露,还可以保护内网用户免受外部恶意网站的攻击,如下图所示。
图1-1 客户端解密场景
设备部署在SSL客户端所在网络中,当SSL客户端访问服务器的请求经过设备时,设备作为代理与服务器端建立通信,对流量进行解密并进行安全检查,确保访问流量安全后再放行,达到保护客户端的目的。
保护服务器一般用于外网客户端访问内网服务器的场景,设备需要对外部的加密流量进行安全检测,保护企业内部服务器的安全,如下图所示。
图1-2 服务器解密场景
设备部署在SSL服务器所在网络中,当SSL客户端访问服务器的请求经过设备时,设备作为代理与客户端建立通信,对流量进行解密并进行安全检查,确保访问流量安全后再放行,达到保护服务器的目的。
SSL解密策略由基础配置(包括入接口、源地址、目的地址等)和过滤条件(客户端解密和服务器解密匹配条件)两部分组成,设备只会对于符合过滤条件的流进行解密。
设备上可以配置多条解密策略,其按照配置顺序从上到下进行匹配,当报文与某条策略匹配成功后,则根据此条解密策略进行报文解密,不再进行后续解密策略的匹配。基于以上的匹配原则,配置解密策略时建议按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
设备支持客户端解密和服务器解密。
客户端解密的过滤条件包括:入接口、源地址、目的地址和HTTPS对象。其中HTTPS对象过滤条件仅支持在HTTPS解密类型中进行配置,客户端解密支持的解密类型有HTTPS流量和邮箱流量。
服务器解密的过滤条件包括:入接口、源地址和服务器IP/端口。服务器的IP/端口为内网服务器的IP/端口,不是NAT策略中的对外端口。
一个解密策略中过滤条件之间是与的关系。
设备客户端解密的处理过程如下:
(1) 解析DNS报文,设备获取DNS回应报文,匹配解密策略的源地址组,解析出域名对应的IP,往当前策略上添加IP域名信息。
(2) 转发报文流经设备,判断TCP 443、995、993、465端口进入解密策略匹配流程。依次匹配入接口、源地址对象、目的地址对象、若为443端口判断目的IP是否存在于DNS解析的IP中,若均匹配上,则上送到本机代理进程。
(3) 代理进程建立双向SSL连接,并对数据进行加解密,解密后的数据封装后送入审计流程。
设备服务器解密的处理过程如下:
(1) 设备作为代理客户与服务器完成SSL握手,建立SSL连接。
(2) 转发报文流经设备,进入解密策略匹配流程。依次匹配入接口、源地址对象、服务器的IP和端口,若均匹配上,则上送到本机代理进程。
(3) 代理进程建立双向SSL连接,并对数据进行加解密,解密后的数据封装后送入审计流程
在SSL加密流量检测过程中,设备作为SSL代理与客户端和服务器分别建立了SSL连接。建立SSL连接之前,设备需要分别与客户端和服务器完成SSL握手。SSL握手即通过本地证书验证对端设备发来的证书是否可信的过程。
在SSL加密流量检测的不同场景下,需要准备和安装的证书不同。
客户端解密需要使用设备上生成CA证书后导入到设备本地证书,并在客户端安装证书,设备才可以作为服务器的代理,与客户端建立SSL连接。
使用设备自带的证书签发功能,或支持导入第三方证书,并被解密策略引用生效。用户证书一旦被解密策略引用,在证书过期之前,策略中包含的其它域名即可顺利的完成浏览。
· 设备自身支持证书签发的能力,可以为IPsec-VPN,HTTPS解密等功能签发相关证书。
· 支持证书导入导出的功能,方便证书的管理,并且可导入第三方证书。解密策略在用户证书中选取一个证书使用,且支持证书之间的切换,证书被其它模块引用时仍可被解密策略引用。
· 支持SSL证书推送,可以实现CA证书安装检测,对指定用户进行CA证书下载页面的推送,终端用户可以在推送页面直接下载证书及安装指导。
服务器解密需要获取到服务器证书及证书的私钥,并导入到设备。导入内部服务器证书和私钥后,设备可以作为服务器的代理,与客户端建立SSL连接。
解密的结果是为了可以对报文中的数据进行审计:
· 符合解密策略的数据全部上送审计模块完成审计,上送审计模块的全部是完成解密的明文数据。
· 符合解密策略的邮件,全部上送到审计模块,在完成审计的同时还支持基于关键字的过滤功能。保证内网用户的绝密信息不外泄。
在导航栏中选择“策略配置>对象管理>URL>HTTPS对象”进入HTTPS对象显示界面,如图1-3所示。
图1-3 HTTPS对象显示界面
HTTPS对象的含义如表1-1所示。
表1-1 HTTPS对象显示信息描述表
|
参数 |
说明 |
|
新建 |
新建显示信息描述表 |
|
删除 |
删除显示信息描述表 |
|
编辑 |
编辑显示信息描述表 |
单击<新建>按钮,进入HTTPS对象配置界面,如图1-4所示。
图1-4 HTTPS对象配置界面
HTTPS对象详细配置说明,如表1-2所示。
表1-2 HTTPS对象策略详细配置
|
参数 |
说明 |
|
名称 |
名称 |
|
描述 |
描述 |
|
自定义https对象 |
自定义https域名对象 |
|
已选预定分类 |
预定义的HTTPS域名对象 |
在导航栏中选择“策略配置>对象管理>CA服务器>根CA配置管理”,进入本地证书显示界面,如图1-5所示。
图1-5 根CA配置管理显示界面
根证书管理界面详细说明,如表1-3所示。
表1-3 根CA管理界面详细
|
参数 |
说明 |
|
生成CA根证书 |
生成CA根证书,为解密策略进行服务 |
|
导入CA根证书 |
导入CA根证书,此CA证书可以是设备上生成的,也可以是从外部CA证书导入的 |
|
导出CA根证书 |
导出CA根证书,可以为其它设备使用 |
单击“生成CA根证书”,进入生成CA根证书界面,如图1-6所示。
图1-6 生成CA根证书
表1-4 生成CA证书详细说明
|
参数 |
说明 |
|
证书名称 |
证书名称 |
|
可选信息 |
详细信息 |
|
有效期 |
CA证书的有效期 |
|
密码 |
CA证书的秘钥 |
|
秘钥大小 |
秘钥大小(bit) |
在导航栏中选择“策略配置>对象管理>本地证书>证书>本地证书”,进入本地证书显示界面,如图1-7所示。
本地证书详细配置说明,如表1-5所示。
|
参数 |
说明 |
|
导入 |
导入证书 |
|
详细信息 |
证书详细信息 |
|
导出 |
导出证书 |
|
删除 |
删除证书 |
在导航栏中选择“策略配置>SSL解密策略”,进入解密策略显示界面,如图1-8所示。
解密策略配置详细说明,如表1-6所示。
|
参数 |
说明 |
|
新建 |
新建解密策略 |
|
删除 |
删除解密策略 |
|
启用 |
启用解密策略 |
|
禁用 |
禁用解密策略 |
|
证书列表 |
选择引用证书,解密功能作为HTTPS代理,设备作为服务端需要此证书用来和客户端做SSL握手,为通信数据加解密 |
|
编辑 |
编辑解密策略 |
|
删除 |
删除解密策略 |
单击<新建>按钮,进入解密策略配置界面,解密模式可以选择“客户端解密”或者“服务器解密”,如图1-9、图1-10所示。
图1-9 解密策略-客户端解密配置界面
图1-10 解密策略-服务器解密配置界面
解密策略详细配置说明,如表1-7所示。
|
参数 |
说明 |
|
启用 |
勾选复选框在创建完成后立即启用该条策略。 |
|
入接口\域 |
选择解密流量的入接口或安全域。 |
|
源地址 |
选择SSL解密策略匹配的源地址。 |
|
解密模式 |
选择客户端解密或服务端解密。 |
|
客户端解密 |
|
|
目的地址 |
选择SSL解密策略匹配的目的地址。 |
|
解密类型 |
选择SSL解密类型,目前支持解密HTTPS站点和邮箱。 |
|
HTTPS对象 |
如果选择了解密HTTPS站点,同时指定需要解密的站点。有关HTTPS对象配置的更多信息,请参考HTTP对象的配置。 |
|
排除站点 |
设置排除站点,不对这些站点的流量进行解密 |
|
服务器解密 |
|
|
服务器配置 |
配置内网需要SSL解密的服务器/端口,最大可配置8个。 |
|
证书 |
选择服务器的SSL证书,需要先在“对象管理 > 本地证书”中导入服务器的证书文件。 |
|
镜像接口 |
SSL加密流量被解密以后,还可以将解密后的流量引流到第三方专业设备进行流量检测或是审计,选择镜像接口表示将解密后的流量从该接口发往第三方设备。 接口可以配置物理接口。默认为空时,不对解密流量进行镜像。 |
设备上可以配置多条审计策略,其按照配置顺序从上到下进行匹配,当报文与某条策略匹配成功后,则根据此条解密策略进行报文解密,不再进行后续解密策略的匹配。基于以上的匹配原则,配置解密策略时建议按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
审计策略过滤条件之间是与的关系。
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面。详细配置请参考“审计策略”章节。
在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,勾选启用按钮,配置SSL证书推送地址范围,进入如下图所示界面,在该界面,可以配置要进行证书推送的IP地址范文,各个配置项的含义如下表所示。
表1-8 SSL证书推送配置项含义
|
参数 |
说明 |
|
启用 |
是否启用SSL证书推送。 |
|
地址范围 |
SSL证书推送的IP地址范围。 |
|
排除地址 |
排除地址不进行SSL证书推送。 |
通过菜单“策略配置>SSL解密策略>SSL证书推送”,进入如下图所示的界面,在该界面上,可以修改证书推送地址,各个配置项的含义如下表所示。
图1-12 修改SSL证书推送
在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,不勾选启用按钮,如下图所示。禁用后系统将不进行CA证书的安装检测,对内网所有用户不进行CA证书的安装推送。
图1-13 禁用SSL证书推送
· 当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备。
· 证书推送检查基于IP,无法支持多终端共享上网的情况,第一次检测后,一个小时内不再检测。
· 安卓手机、IOS手机和linux系统的PC不支持证书推送。
在ge3口上开启解密策略,记录审计日志。
图1-14 解密策略配置举例组网图
(1) 配置HTTPS对象
在导航栏中选择“策略配置>对象管理>URL对象>HTTPS对象”,单击<新建>按钮,进入HTTPS对象配置界面,如图1-15所示。
图1-15 HTTPS对象配置界面
(2) 生成CA证书
如图1-16所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。
图1-16 生成CA根证书
如图1-17所示,在生成CA证书以后,导出证书。.
(3) 导入本地证书
在导航栏中选择“策略配置>对象管理>本地证书>证书>本地证书”,单击<导入>按钮,进入导入证书配置界面,如图1-18所示。
(4) 启用审计策略。
在导航栏中选择“策略配置 > 审计策略”,单击<新建>按钮,进入审计策略配置界面,选择所有审计对象,如图1-19所示。
(5) 配置解密策略
在导航栏中选择“策略配置>SSL解密策略”,单击<新建>按钮,进入解密策略配置界面,如图1-20所示。
(6) 引用证书
在解密策略显示界面引用生成的证书“https.cer”,如图1-21所示。
进入“数据中心>日志中心>审计日志”,查看搜索引擎日志,如图1-22所示。
针对内网地址为“100.1.1.100”的用户开启SSL证书推送,组网如下图所示。
如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。
(1) 选择“策略配置 > SSL解密策略”,单击“新建”按钮,配置解密策略,在证书列表中选择已配置的HTTPS对象,如下图所示。
图1-24 解密策略配置
(2) 在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,勾选启用按钮,配置SSL证书推送地址范围,如下图所示。
图1-25 SSL证书推送页面
(1) 配置完成后,使用地址为“100.1.1.100的测试PC访问http地址,进入302重定向页面,如下图所示。
(2) 单击重定向页面的“下载证书”按钮,将证书文件下载到本地,如下图所示
图1-27 下载证书
(3) 安装证书。可单击重定向页面的“安装指导”下载安装说明,参考安装指导进行根证书的安装。
(4) 证书导入成功后,测试PC访问HTTPS网页,可以产生相应的审计日志。选择“数据中心 > 日志中心 > 审计日志 > 搜索引擎日志”界面,查看搜索引擎日志,如下图所示。
图1-28 搜索引擎日志界面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
