• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置(R6614)-6W102

目录

35-解密策略典型配置举例

本章节下载 35-解密策略典型配置举例  (1.15 MB)

35-解密策略典型配置举例


1  简介

本文档介绍设备的解密策略配置举例,解密策略对通过设备的入接口、源IP、目的IP、HTTPS对象进行访问控制,主要是对使用SSL协议传输的流量做审计。支持HTTPS、邮箱类审计功能,并产生审计日志。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解解密策略特性。

3  使用限制

·     当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。

·     HTTPS解密策略所需证书为CA证书。

·     部分邮箱客户端(网易邮箱大师/闪电邮)的SMTP是使用的TLS加密,TLS加密不支持解密。

·     部分HTTPS站点的客户端会进行证书校验,会显示非安全连接。

4  配置举例

4.1  组网需求

图1所示,某公司内网存在测试网段和办公网段,IP地址分别为192.10.1.0/24和172.16.10.0/24。使用设备的ge2和ge3接口路由模式部署在网络中,设备作为出口网关设备,下联二层交换机。在设上启用解密策略功能。

图1 解密策略路由模式组网图

 

4.2  配置思路

·     配置需要审计的HTTPS对象;

·     生成CA证书;

·     导入本地证书;

·     启用审计策略;

·     启用解密策略;

·     引用证书。

4.3  使用版本

本举例是在R6614版本上进行配置和验证的。

4.4  配置注意事项

·     解密策略用的证书为CA证书,先在证书管理>根CA配置管理页面生成CA证书,再导出证书至PC本地。

·     DNS回应报文IP地址解析。443端口的站点(包含网页版邮箱)解密,需首先把站点域名转化为IP地址,作为流量过滤条件,只有符合条件的HTTPS流量进入解密流程。

·     代理模块需要和客户端建立SSL连接,因此需要给客户端安装证书,设备需要支持证书签发功能及导入导出功能,且可以被解密策略引用。解密策略可根据当前导入的证书选择使用哪个证书。

·     邮箱类解密分为网页版邮箱和客户端版邮箱。网页版邮箱内置需要审计的域名对用户不可见,对外通过配置说明文档体现网页版邮箱支持规格。客户端邮箱解密支持SMTP、POP3、IMAP协议。有些SMTP使用的TLS加密不支持审计。

·     如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。

4.5  配置步骤

4.5.1  配置设备

1. 配置HTTPS对象

图2所示,进入“策略配置>对象管理>URL对象>HTTPS对象”,点击<新建>。

图2 配置HTTPS对象

2. 生成CA证书

图3所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。

图3 生成CA根证书

 

图4所示,在生成CA证书以后,导出证书。

图4 导出CA证书

 

3. 导入本地证书

图5所示,进入“策略配置>对象管理>本地证书>证书>本地证书”,点击<导入>,选择之前生成的CA证书。

 

图5 导入证书

4. 启用审计策略。

图6所示,进入“策略配置>审计策略”,点击<新建>,配置审计策略,选择所有审计对象。

图6 启用审计策略

 

图7所示,创建成功的审计策略如下:

图7 审计策略配置成功

 

5. 启用解密策路,开启站点解密和邮箱解密

图8所示,进入“策略配置>SSL解密策略”,点击<新建>,配置解密策略。

图8 启用解密策略

 

6. 引用证书

进入“策略配置>SSL解密策略”,点击<证书列表>,引用生成证书。(https管理端口为443时,需要在系统管理 > 系统设定 > 管理设定下把https端口改为非443端口,然后再引用证书)

图9 配置https端口

 

图10 引用证书成功

 

4.6  验证配置

(1)     验证审计日志里的搜索引擎日志。

图11所示,进入“数据中心>日志中心>审计日志>搜索引擎日志”查看,发现已经审计到用户访问百度的搜索引擎内容,并正确地记录了日志。

图11 测试网段搜索引擎日志

 

(2)     验证审计日志里的邮箱日志。

图12所示,进入“数据中心>日志中心>审计日志>邮件日志”,可以看到办公网段已经被正确记录了所有SSL邮箱日志。

图12 办公网段邮件日志

 

(3)     验证审计日志里的网站访问日志。

图13所示,进入“数据中心>日志中心>审计日志>访问网站日志”查看,发现已经审计到用户访问百度的访问网站内容,并正确地记录了日志。

图13 测试网段访问网站日志

 

5  终端证书导入方法

5.1  PC浏览器证书导入方法

5.1.1  IE/chrome浏览器证书的导入【适用于除Firefox以外的浏览器】

(1)     下载证书【https.cer】到PC。

 

(2)     双击打开证书【https.cer】,选择安装证书。

 

(3)     选择证书存储位置【二者皆可】

 

(4)     选择【将所有证书放入下列存储】

 

(5)     点击【浏览】选择【受信任的根证书颁发机构】然后【下一步】

 

(6)     确认信息点击【完成】

 

5.1.2  Firefox浏览器证书的导入

(1)     打开Firefox浏览器,选择【选项】

 

(2)     选择【高级】——【证书】——【查看证书】

 

(3)     进入【证书机构】——选择【导入】

 

(4)     选择【https.cer】点击【打开】

 

(5)     【全部勾选三个信任提示】——【确定】

 

(6)     确认导入的证书点击【确定】

 

注:浏览器导入证书需要清除缓存以后重新打开浏览器!

5.2  移动终端证书导入方法

5.2.1  安卓证书导入

(1)     将证书放置http网站。

 

(2)     点击下载证书

 

(3)     下载成功后,选择“打开”证书。

 

(4)     证书安装器会弹出“为证书命名”,并且凭据用途要先选择“WLAN”。

 

(5)     凭据用途选择“VPN和应用”再安装一次。

 

(6)     进入手机“安全与隐私”,选择“受信任的凭据”中“用户”查看证书是否安装成功。

 

(7)     如果未成功,选择在“安全与隐私”中“从SD卡安装证书”,找到证书路径,重复上述步骤安装证书。

5.2.2  苹果IOS证书导入

(1)     将证书放置http网站。

 

(2)     点击下载证书

 

(3)     选择“允许”后,iphone会直接跳转到安装界面。

 

(4)     选择“安装”

对于有些设置了密码的手机,当点击安装后,会跳出以下输入密码的界面,输入自身手机的开机密码即可:

(5)     安装后描述文件显示“已验证”。

 

(6)     进入“通用”—“关于本机”—“证书信任设置”

 

(7)     在证书勾选信任。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们