- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
46-解密策略典型配置举例
本章节下载: 46-解密策略典型配置举例 (1.25 MB)
目 录
本文档介绍设备的解密策略配置举例,解密策略对通过设备的HTTPS流量进行解密,再对解密后的流量进行审计并产生审计日志。设备的SSL解密功能支持客户端解密和服务器解密,客户端解密支持HTTPS、邮箱类审计。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解解密策略特性。
· 当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
· HTTPS解密策略所需证书为CA证书。
· 部分邮箱客户端(网易邮箱大师/闪电邮)的SMTP是使用的TLS加密,TLS加密不支持解密。
· 部分HTTPS站点的客户端会进行证书校验,会显示非安全连接。
如图1所示,某公司内网存在测试网段和办公网段,IP地址分别为192.10.1.0/24和172.16.10.0/24。使用设备的ge2和ge3接口路由模式部署在网络中,设备作为出口网关设备,下联二层交换机。在设上启用解密策略功能。
· 配置需要审计的HTTPS对象;
· 生成CA证书;
· 导入本地证书;
· 启用审计策略;
· 启用解密策略;
· 引用证书。
本举例是在R6618版本上进行配置和验证的。
· 解密策略用的证书为CA证书,先在证书管理>根CA配置管理页面生成CA证书,再导出证书至PC本地。
· DNS回应报文IP地址解析。443端口的站点(包含网页版邮箱)解密,需首先把站点域名转化为IP地址,作为流量过滤条件,只有符合条件的HTTPS流量进入解密流程。
· 代理模块需要和客户端建立SSL连接,因此需要给客户端安装证书,设备需要支持证书签发功能及导入导出功能,且可以被解密策略引用。解密策略可根据当前导入的证书选择使用哪个证书。
· 邮箱类解密分为网页版邮箱和客户端版邮箱。网页版邮箱内置需要审计的域名对用户不可见,对外通过配置说明文档体现网页版邮箱支持规格。客户端邮箱解密支持SMTP、POP3、IMAP协议。有些SMTP使用的TLS加密不支持审计。
· 如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。
如图2所示,进入“策略配置>对象管理>URL对象>HTTPS对象”,点击<新建>。
如图3所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。
图3 生成CA根证书
如图4所示,在生成CA证书以后,导出证书。
图4 导出CA证书
如图5所示,进入“策略配置>对象管理>本地证书>证书>本地证书”,点击<导入>,选择之前生成的CA证书。
如图6所示,进入“策略配置>审计策略”,点击<新建>,配置审计策略,选择所有审计对象。
图6 启用审计策略
如图7所示,创建成功的审计策略如下:
如图8所示,进入“策略配置>SSL解密策略”,点击<新建>,配置解密策略。
进入“策略配置>SSL解密策略”,点击<证书列表>,引用生成证书。(https管理端口为443时,需要在系统管理 > 系统设定 > 管理设定下把https端口改为非443端口,然后再引用证书)
图9 配置https端口
(1) 验证审计日志里的搜索引擎日志。
如图11所示,进入“数据中心>日志中心>审计日志>搜索引擎日志”查看,发现已经审计到用户访问百度的搜索引擎内容,并正确地记录了日志。
(2) 验证审计日志里的邮箱日志。
如图12所示,进入“数据中心>日志中心>审计日志>邮件日志”,可以看到办公网段已经被正确记录了所有SSL邮箱日志。
(3) 验证审计日志里的网站访问日志。
如图13所示,进入“数据中心>日志中心>审计日志>访问网站日志”查看,发现已经审计到用户访问百度的访问网站内容,并正确地记录了日志。
(1) IE/chrome浏览器证书的导入【适用于除Firefox以外的浏览器】
a. 下载证书【https.cer】到PC。
b. 双击打开证书【https.cer】,选择安装证书。
c. 选择证书存储位置【二者皆可】
d. 选择【将所有证书放入下列存储】
e. 点击【浏览】选择【受信任的根证书颁发机构】然后【下一步】
f. 确认信息点击【完成】
(2) Firefox浏览器证书的导入
a. 打开Firefox浏览器,选择【选项】
b. 选择【高级】——【证书】——【查看证书】
c. 进入【证书机构】——选择【导入】
d. 选择【https.cer】点击【打开】
e. 【全部勾选三个信任提示】——【确定】
f. 确认导入的证书点击【确定】
注:浏览器导入证书需要清除缓存以后重新打开浏览器!
(1) 安卓证书导入
a. 将证书放置http网站。
b. 点击下载证书
c. 下载成功后,选择“打开”证书。
d. 证书安装器会弹出“为证书命名”,并且凭据用途要先选择“WLAN”。
e. 凭据用途选择“VPN和应用”再安装一次。
f. 进入手机“安全与隐私”,选择“受信任的凭据”中“用户”查看证书是否安装成功。
如果未成功,选择在“安全与隐私”中“从SD卡安装证书”,找到证书路径,重复上述步骤安装证书。
(2) 苹果IOS证书导入
a. 将证书放置http网站。
b. 点击下载证书
c. 选择“允许”后,iphone会直接跳转到安装界面。
d. 选择“安装”
对于有些设置了密码的手机,当点击安装后,会跳出以下输入密码的界面,输入自身手机的开机密码即可:
e. 安装后描述文件显示“已验证”。
f. 进入“通用”—“关于本机”—“证书信任设置”
g. 在证书勾选信任。
如图14所示,内网用户通过设备访问企业内网的HTTPS服务器,在设备上开启服务器解密功能,对设备与服务器间的流量进行解密,并对解密后的流量进行审计,对用户访问内网服务器的行为进行审计并记录审计日志。
· 导入HTTPS服务器的证书密钥。
· 在设备上配置服务器解密。
· 配置审计策略。
本举例是在R6618版本上进行配置和验证的。
如图15所示,进入“网络配置>接口配置”,点击操作栏
,分别配置接口ge4的接口IP地址为:172.16.3.1/24,接口ge5的IP为:172.16.4.1/24,配置完成后点击<提交>。
图15 配置接口ge4
如图16所示,进入“策略配置>对象管理>本地证书>证书”,点击<导入>,导入HTTPS服务器的证书,点击<提交>。
如图17所示,进入“策略配置>SSL解密策略>解密策略”,点击<新建>,新建服务器解密策略,入接口选择ge4,服务器地址配置为HTTPS服务器的地址和端口,证书选择已导入的HTTPS服务器的证书,点击<提交>。
图17 服务器解密策略配置页面
如图18所示,进入“策略配置>审计策略”,点击<新建>,新建审计策略,入接口选择ge4,审计对象全部勾选,点击<提交>。
通过Host1访问HTTPS服务器,产生审计日志。进入“数据中心 > 日志中心 > 审计日志 > 访问网站日志”查看日志信息。
点击操作栏的“详细”可以查看日志的详细信息。
图19 日志详细信息
· 服务器解密需要解密服务器的流量过设备。
· 服务器解密需要获取到服务器证书及证书的私钥,并导入到设备。
!
interface ge4
ip address 172.16.3.1/24
allow access http
allow access ping
allow access telnet
!
interface ge5
ip address 172.16.4.1/24
allow access ping
!
!
!policy-decrypt
!
sslproxy-optimize enable
policy decrypt any any server 1
server-decrypt ca server.cer
server-decrypt ip address 172.16.4.2 port 5443
!
audit_policy ge4 any any any /any/ always web_access any 1
audit-behaviour network_community
audit-behaviour web_search
audit-behaviour send_web_mail
audit-behaviour http_send_file
audit-behaviour http_download_file
audit-behaviour send_mail
audit-behaviour receive_mail
audit-behaviour im_audit
audit-behaviour ftp
audit-behaviour recreation
audit-behaviour stock
audit-behaviour other_app
audit-behaviour im_web_weixin
audit-behaviour im_other
audit-behaviour telnet
audit-behaviour receive_web_mail
audit-behaviour web_mail_upload_attachment
audit-behaviour web_mail_download_attachment
audit-behaviour web_disk_upload_file
audit-behaviour web_disk_download_file
audit-behaviour dns
audit-behaviour netbios
audit-behaviour ldap
audit-behaviour ssl
audit-behaviour icf-modbus
audit-behaviour icf-s7
audit-behaviour icf-cip
audit-behaviour icf-iec104
audit-behaviour icf-opc
audit-behaviour icf-dnp3
audit-behaviour icf-pnio
audit-behaviour icf-mqtt
audit-behaviour icf-opcua
audit-behaviour icf-enip
audit-behaviour icf-fins
audit-behaviour icf-bacnet
audit-behaviour icf-mms
audit-behaviour db_mysql
audit-behaviour db_postgresql
audit-behaviour db_oracle
audit-behaviour db_informix
audit-behaviour db_sqlserver
audit-behaviour db_sybase
audit-behaviour db_db2
other-app category IM_Software
other-app category P2P_Software
other-app category Online_Game
other-app category File_Transfer
other-app category Search_Engine
other-app category Network_Community
other-app category Database_Software
other-app category Ecommerce
other-app category Network_Protocol
other-app category E_Mail
other-app category Remote_Control
other-app category Life_Services
other-app category Network_Proxy
other-app category Enterprise_Software
other-app category Software_Update
other-app category Other_Software
other-app category Finance_Login
other-app category Finance_Info
other-app category Finance_Deal
other-app category P2P_Media
other-app category Other_Media
other-app category Cloud_Storage
other-app category Weibo
other-app category Portals
other-app category Recruit_Info
other-app category Literature_Info
other-app category Electric_Bank
other-app category Virtual_Currency
audit terminal model any
log level info
create-by admin
audit associate enable
audit l2tp disable
!
!
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
