• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

16-解密策略配置指导

本章节下载 16-解密策略配置指导  (259.63 KB)

16-解密策略配置指导


1 解密策略

1.1  简介

随着市场网络安全的发展,越来越多的客户将原有的http业务逐步的迁移到https上,这样很大程度上保证了客户访问网络的安全,数据不会轻易的被第三方窥视。这样网络管理员很大程度上,很难得到内网用户访问外网的相关数据。对企业,集团内网有很大的风险。基于此客户对行为管理产品的厂商提出要求,需要设备能够解密客户https的流量,从而完成对原有https流量的审计功能。

1.2  使用限制

·     当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。

·     https解密策略所需证书为CA证书。

·     部分邮箱客户端(网易邮箱大师/闪电邮)的smtp是使用的TLS加密,TLS加密不支持解密。

·     部分https站点的客户端会进行证书校验,会显示非安全连接。

1.3  配置解密策略

配置解密策略方式如下表:

表1-1 配置解密策略

操作

命令

说明

进入系统视图

system-view

-

创建HTTPS对象

https-object NAME

https-object add category NAME

可选

启用网站解密策略

policy decrypt IN_IF SIP DIP https  URL [ID]

可选

启用邮箱解密策略

policy decrypt IN_IF SIP DIP mail  URL [ID]

可选

启用审计策略

audit_policy { if_in | any} { if_out | any } { sip | any } { dip | any } { user | any } { schedule | always } { web_access | network_community | web_mail | web_search | http_send_file | http_download_file | recive_mail | send_mail | m_qq | ftp | recreation | stock | knowns_app | im_web_qq | im_web_weixin | im_feixin | im_other | telnet | tftp | all } { mobile | pc | multi | any } [id]

必选

配置排除URL

Policy  decrypt  exclude URL policy-id

可选

 

1.4  解密策略配置查看和维护

在完成上述配置后,在任意视图下执行display命令查看解密策略的配置情况。

表1-2 解密策略查看和维护

操作

命令

https对象查看

display run https-object

display https-object

解密策略配置查看

display running-config policy

查看某一解密策略的状态

display policy decrypt status policy-id

 

2 配置举例

2.1  组网需求

图2-1所示,某公司内网存在测试网段和办公网段,IP地址分别为192.10.1.0/24和172.16.10.0/24。使用设备的的ge2和ge3接口路由模式部署在网络中,设备作为出口网关设备,下联二层交换机。在设备上启用解密策略功能。

图2-1 解密策略路由模式组网图

 

 

2.2  配置思路

·     配置需要审计的https对象;

·     启用解密策略;

·     启用IPV4审计策略;

·     生成CA证书;

·     导入本地证书;

·     引用证书。

2.3  配置注意事项

·     解密策略用的证书为CA证书,先在CA服务器生成证书,再导出证书至本地。

·     DNS回应报文IP地址解析。443端口的站点(包含网页版邮箱)解密,需首先把站点域名转化为IP地址,作为流量过滤条件,只有符合条件的HTTPS流量进入解密流程。

·     代理模块需要和客户端建立SSL连接,因此需要给客户端推送证书,设备需要支持证书签发功能及导入导出功能,且可以被解密策略引用。解密策略可根据当前导入的证书选择使用哪个证书。

·     邮箱类解密分为网页版邮箱和客户端版邮箱。网页版邮箱内置需要审计的域名对用户不可见,对外通过配置说明文档体现网页版邮箱支持规格。客户端邮箱解密支持SMTP、POP3、IMAP协议。有些SMTP使用的TLS加密不支持审计。

2.4  配置步骤

1. 配置https对象

host(config)# https-object  https-obj

host(config-https-object)#  https-object add category BBS站点

host(config-https-object)#   https-object add category 商业

host(config-https-object)#   https-object add category 计算机与互联网

host(config-https-object)#   https-object add category 教育

host(config-https-object)#   https-object add category 娱乐

host(config-https-object)#   https-object add category 游戏

host(config-https-object)#   https-object add category 网络资源

host(config-https-object)#   https-object add category 求职招聘

host(config-https-object)#   https-object add category 网上交易

host(config-https-object)#   https-object add category 新闻媒体

host(config-https-object)#   https-object add category 文学

host(config-https-object)#   https-object add category 在线聊天

host(config-https-object)#   https-object add category 门户网站与搜索引擎

host(config-https-object)#   https-object add category 参考

host(config-https-object)#   https-object add category 旅游

host(config-https-object)#   https-object add category WEB通信

2. 启用解密策路,开启站点解密和邮箱解密

host(config)# policy decrypt  ge0 any any  https  https-obj 1

host(config)# policy decrypt  ge0 any any  mail 2

3. 启用IPV4审计策略,审计对象选择all

host(config)# audit_policy any any any any any always all any 1

host(config-audit_policy)# enable

 

4. 生成CA证书

图2-2所示,进入“对象管理>CA服务器> 根CA配置管理”,点击<生成CA根证书>。

图2-2 生成CA根证书

 

图2-3所示,在生成CA证书以后,导出证书。.

图2-3 导出CA证书

 

5. 导入本地证书

图2-4所示,进入“对象管理>本地证书> 证书”,点击<导入>,选择之前生成的CA证书。

图2-4 导入证书

 

6. 引用证书

图2-5所示,进入“上网行为管理>解密策略”,点击<证书列表>,引用生成证书。

图2-5 引用证书成功

 

2.5  验证配置

(1)     验证审计日志里的搜索引擎日志。

图2-6所示,进入“日志查询>应用审计日志>搜索引擎日志”查看,发现已经审计到用户访问百度的搜索引擎内容,并正确地记录了日志。

图2-6 测试网段搜索引擎日志

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们