35-解密策略典型配置举例
本章节下载 (1.15 MB)
本文档介绍设备的解密策略配置举例,解密策略对通过设备的入接口、源IP、目的IP、HTTPS对象进行访问控制,主要是对使用SSL协议传输的流量做审计。支持HTTPS、邮箱类审计功能,并产生审计日志。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解解密策略特性。
· 当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
· HTTPS解密策略所需证书为CA证书。
· 部分邮箱客户端(网易邮箱大师/闪电邮)的SMTP是使用的TLS加密,TLS加密不支持解密。
· 部分HTTPS站点的客户端会进行证书校验,会显示非安全连接。
如图1所示,某公司内网存在测试网段和办公网段,IP地址分别为192.10.1.0/24和172.16.10.0/24。使用设备的ge2和ge3接口路由模式部署在网络中,设备作为出口网关设备,下联二层交换机。在设上启用解密策略功能。
· 配置需要审计的HTTPS对象;
· 生成CA证书;
· 导入本地证书;
· 启用审计策略;
· 启用解密策略;
· 引用证书。
本举例是在R6612版本上进行配置和验证的。
· 解密策略用的证书为CA证书,先在证书管理>根CA配置管理页面生成CA证书,再导出证书至PC本地。
· DNS回应报文IP地址解析。443端口的站点(包含网页版邮箱)解密,需首先把站点域名转化为IP地址,作为流量过滤条件,只有符合条件的HTTPS流量进入解密流程。
· 代理模块需要和客户端建立SSL连接,因此需要给客户端安装证书,设备需要支持证书签发功能及导入导出功能,且可以被解密策略引用。解密策略可根据当前导入的证书选择使用哪个证书。
· 邮箱类解密分为网页版邮箱和客户端版邮箱。网页版邮箱内置需要审计的域名对用户不可见,对外通过配置说明文档体现网页版邮箱支持规格。客户端邮箱解密支持SMTP、POP3、IMAP协议。有些SMTP使用的TLS加密不支持审计。
· 如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。
如图2所示,进入“策略配置>对象管理>URL对象>HTTPS对象”,点击<新建>。
如图3所示,创建成功的HTTPS对象配置如下:
图3 HTTPS对象配置成功
如图4所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。
图4 生成CA根证书
如图5所示,在生成CA证书以后,导出证书。
图5 导出CA证书
如图6所示,进入“策略配置>对象管理>本地证书>证书>本地证书”,点击<导入>,选择之前生成的CA证书。
如图7所示,导入成功的证书如下:
如图8所示,进入“策略配置>审计策略”,点击<新建>,配置审计策略,选择所有审计对象。
图8 启用审计策略
如图9所示,创建成功的审计策略如下:
如图10所示,进入“策略配置>SSL解密策略”,点击<新建>,配置解密策略。
如图11所示,创建成功的解密策略配置如下:
如图12所示,进入“策略配置>SSL解密策略”,点击<证书列表>,引用生成证书。
(1) 验证审计日志里的搜索引擎日志。
如图13所示,进入“数据中心>日志中心>审计日志>搜索引擎日志”查看,发现已经审计到用户访问百度的搜索引擎内容,并正确地记录了日志。
(2) 验证审计日志里的邮箱日志。
如图14所示,进入“数据中心>日志中心>审计日志>邮件日志”,可以看到办公网段已经被正确记录了所有SSL邮箱日志。
(3) 验证审计日志里的网站访问日志。
如图15所示,进入“数据中心>日志中心>审计日志>访问网站日志”查看,发现已经审计到用户访问百度的访问网站内容,并正确地记录了日志。
(1) 下载证书【https.cer】到PC。
(2) 双击打开证书【https.cer】,选择安装证书。
(3) 选择证书存储位置【二者皆可】
(4) 选择【将所有证书放入下列存储】
(5) 点击【浏览】选择【受信任的根证书颁发机构】然后【下一步】
(6) 确认信息点击【完成】
(1) 打开Firefox浏览器,选择【选项】
(2) 选择【高级】——【证书】——【查看证书】
(3) 进入【证书机构】——选择【导入】
(4) 选择【https.cer】点击【打开】
(5) 【全部勾选三个信任提示】——【确定】
(6) 确认导入的证书点击【确定】
注:浏览器导入证书需要清除缓存以后重新打开浏览器!
(1) 将证书放置http网站。
(2) 点击下载证书
(3) 下载成功后,选择“打开”证书。
(4) 证书安装器会弹出“为证书命名”,并且凭据用途要先选择“WLAN”。
(5) 凭据用途选择“VPN和应用”再安装一次。
(6) 进入手机“安全与隐私”,选择“受信任的凭据”中“用户”查看证书是否安装成功。
(7) 如果未成功,选择在“安全与隐私”中“从SD卡安装证书”,找到证书路径,重复上述步骤安装证书。
(1) 将证书放置http网站。
(2) 点击下载证书
(3) 选择“允许”后,iphone会直接跳转到安装界面。
(4) 选择“安装”
对于有些设置了密码的手机,当点击安装后,会跳出以下输入密码的界面,输入自身手机的开机密码即可:
(5) 安装后描述文件显示“已验证”。
(6) 进入“通用”—“关于本机”—“证书信任设置”
(7) 在证书勾选信任。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!