17-解密策略配置指导
本章节下载: 17-解密策略配置指导 (251.43 KB)
目录
随着市场网络安全的发展,越来越多的客户将原有的http业务逐步的迁移到https上,这样很大程度上保证了客户访问网络的安全,数据不会轻易的被第三方窥视。这样网络管理员很大程度上,很难得到内网用户访问外网的相关数据。对企业,集团内网有很大的风险。基于此客户对行为管理产品的厂商提出要求,需要设备能够解密客户https的流量,从而完成对原有https流量的审计功能。
· 当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
· https解密策略所需证书为CA证书。
· 部分邮箱客户端(网易邮箱大师/闪电邮)的smtp是使用的TLS加密,TLS加密不支持解密。
· 部分https站点的客户端会进行证书校验,会显示非安全连接。
配置解密策略方式如下表:
表1-1 配置解密策略
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
创建HTTPS对象 |
https-object NAME https-object add category NAME |
可选 |
启用网站解密策略 |
policy decrypt IN_IF SIP DIP https URL [ID] |
可选 |
启用邮箱解密策略 |
policy decrypt IN_IF SIP DIP mail URL [ID] |
可选 |
启用审计策略 |
policy {IN_IF|any} {OUT_IF|any} {SIP|any} {DIP|any} {PROTOCOL|any} {USER|any} {APP|any} {SCHEDULE|always} {permit|deny}[ID] app-policy 1 application any any any keyword include any accept info FilterIMLoginAction |
必选 |
配置排除URL |
Policy decrypt exclude URL policy-id |
可选 |
在完成上述配置后,在任意视图下执行display命令查看解密策略的配置情况。
表1-2 解密策略查看和维护
操作 |
命令 |
https对象查看 |
display run https-object |
display https-object |
|
解密策略配置查看 |
display running-config policy |
查看某一解密策略的状态 |
display policy decrypt status policy-id |
如图2-1所示,某公司内网存在测试网段和办公网段,IP地址分别为192.10.1.0/24和172.16.10.0/24。使用设备的ge2和ge3接口路由模式部署在网络中,设备作为出口网关设备,下联二层交换机。在设备上启用解密策略功能。
· 配置需要审计的https对象;
· 启用解密策略;
· 启用IPV4安全策略,开启应用过滤和URL过滤;
· 生成CA证书;
· 导入本地证书;
· 引用证书。
· 解密策略用的证书为CA证书,先在CA服务器生成证书,再导出证书至本地。
· DNS回应报文IP地址解析。443端口的站点(包含网页版邮箱)解密,需首先把站点域名转化为IP地址,作为流量过滤条件,只有符合条件的HTTPS流量进入解密流程。
· 代理模块需要和客户端建立SSL连接,因此需要给客户端推送证书,设备需要支持证书签发功能及导入导出功能,且可以被解密策略引用。解密策略可根据当前导入的证书选择使用哪个证书。
· 邮箱类解密分为网页版邮箱和客户端版邮箱。网页版邮箱内置需要审计的域名对用户不可见,对外通过配置说明文档体现网页版邮箱支持规格。客户端邮箱解密支持SMTP、POP3、IMAP协议。有些SMTP使用的TLS加密不支持审计。
如图2-2所示,进入“对象管理>CA服务器> 根CA配置管理”,点击<生成CA根证书>。
图2-2 生成CA根证书
如图2-3所示,在生成CA证书以后,导出证书。.
如图2-4所示,进入“对象管理>本地证书> 证书”,点击<导入>,选择之前生成的CA证书。
如图2-5所示,导入成功的证书如下:
如图2-6所示,进入“防火墙>解密策略”,点击<证书列表>,引用生成证书。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!