• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 Web配置指导(R6614)-6W102

37-SSL解密策略

本章节下载 37-SSL解密策略  (979.41 KB)

37-SSL解密策略


1 SSL解密策略

1.1  概述

随着市场网络安全的发展,越来越多的客户将原有的http业务逐步的迁移到https上,这样很大程度上保证了客户访问网络的安全,数据不会轻易的被第三方窥视。这样网络管理员很大程度上,很难得到内网用户访问外网的相关数据。对企业,集团内网有很大的风险。基于此客户对行为管理产品的厂商提出要求,需要设备能够解密客户https的流量,从而完成对原有https流量的审计功能。

解密策略对设备的入接口、源IP、目的IP、https对象进行访问控制,主要是对使用SSL协议传输的流量做审计,支持HTTPS、邮箱类审计功能,并产生审计日志。

1.2  原理描述

1.2.1  基本原理

由于SSL流量是加密传输的,设备无法对加密的数据进行深度安全检测、审计等。所以HTTPS解密的本质就是对通过设备的报文进行SSL代理,本设备可通过配置解密策略来实现对所需要的流量进行SSL代理。

图1-1 SSL代理功能示意图

 

如上图所示,设备将与解密策略过滤条件匹配成功的报文进行SSL代理,即分别与客户端和服务器建立SSL连接,然后对传输的报文先进行解密,再进行深度安全检测或者审计。完成流量审计后,对放行的报文重新进行加密,并发送到目的服务器。

1.2.2  解密策略

一个解密策略基本由过滤条件(包括入接口、源地址、目的地址等)和解密类型(即解密的对象)两部分组成,设备只会对于符合过滤条件的流进行解密。

设备上可以配置多条解密策略,其按照配置顺序从上到下进行匹配,当报文与某条策略匹配成功后,则根据此条解密策略进行报文解密,不再进行后续解密策略的匹配。基于以上的匹配原则,配置解密策略时建议按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。

1.2.3  过滤条件

设备支持的过滤条件包括:入接口、源地址、目的地址和HTTPS对象。其中HTTPS对象过滤条件仅支持在HTTPS解密类型中进行配置。一个解密策略中过滤条件之间是与的关系。

1.2.4  证书管理

实现SSL代理的本质就是通过设备在Client和Server之间进行证书管理。通过证书管理设备可以分别与Client和Server建立SSL连接,从而对数据进行解密。

使用设备自带的证书签发功能,或支持导入第三方证书,并被解密策略引用生效。用户证书一旦被解密策略引用,在证书过期之前,策略中包含的其它域名即可顺利的完成浏览。

·              设备自身支持证书签发的能力,可以为ipsecvpn,https解密等功能签发相关证书。

·              支持证书导入导出的功能,方便证书的管理,并且可导入第三方证书。解密策略在用户证书中选取一个证书使用,且支持证书之间的切换,证书被其它模块引用时仍可被解密策略引用。

·              支持SSL证书推送,可以实现CA证书安装检测,对指定用户进行CA证书下载页面的推送,终端用户可以在推送页面直接下载证书及安装指导。

1.3  解密类型

目前此功能支持的解密类型有HTTPS流量和邮箱流量。

1.3.1  HTTPS解密

配置此种解密类型时,需要保证客户端的DNS报文经过设备,解密策略才能正常匹配生效,若DNS报文不经过设备的话,由于获取不到域名与IP的对应关系,这样经过设备的https域名站点的报文的目的IP与配置的HTTPS对象中域名解析的IP匹配不上,无法进入到解密流程从而也就无法解密。

系统内置的站点支持https解密功能,目前系统提供128个常见的站点域名,并且客户可以根据自己的需要自定义10个域名。

系统自带的站点格式举例:

·              www.baidu.com

·              www.taobao.com

·              www.jd.com

·              www.sogou.com

·              www.so.com

·              www.taobao.com

·              www.amazon.cn

1.3.2  邮箱解密

该功能目前只针对如下常见邮箱提供解密:QQ(个人,企业),网易(163/126),标准的pop3(995)、imap(993)和smtp(465)同时开启ssl加密的邮箱。

当设备只需要进行邮箱解密,而不需要HTTPS流量解密时,不需要DNS流量经过设备。

1.4  解密策略例外功能

解密功能提供特定站点排除功能以及源地址排除的功能,针对排除的地址和站点不做https的解密,两者之间是或的关系,只要一个满足即排除不做解密,源地址排除功能使用地址对象配置。

1.5  解密策略的应用

解密的结果是为了可以对报文中的数据进行审计:

·              符合解密策略的数据全部上送审计模块完成审计,上送审计模块的全部是完成解密的明文数据。

·              符合解密策略的邮件,全部上送到审计模块,在完成审计的同时还支持基于关键字的过滤功能。保证内网用户的绝密信息不外泄。

1.6  配置解密策略

1.6.1  配置HTTPS对象

在导航栏中选择“策略配置>对象管理>URL>HTTPS对象”进入HTTPS对象显示界面,如图1-2所示。

图1-2 HTTPS对象显示界面

 

 

HTTPS对象的含义如表1-1所示。

表1-1 HTTPS对象显示信息描述表

参数

说明

新建

新建显示信息描述表

删除

删除显示信息描述表

编辑

编辑显示信息描述表

 

单击<新建>按钮,进入HTTPS对象配置界面,如图1-3所示。

图1-3 HTTPS对象配置界面

 

HTTPS对象详细配置说明,如表1-2所示。

表1-2 HTTPS对象策略详细配置

参数

说明

名称

名称

描述

描述

自定义https对象

自定义https域名对象

已选预定分类

预定义的HTTPS域名对象

 

1.6.2  生成CA证书

在导航栏中选择“策略配置>对象管理>CA服务器>根CA配置管理”,进入本地证书显示界面,如图1-4所示。

图1-4 根CA配置管理显示界面

 

 

根证书管理界面详细说明,如表1-3所示。

表1-3 根CA管理界面详细

参数

说明

生成CA根证书

生成CA根证书,为解密策略进行服务

导入CA根证书

导入CA根证书,此CA证书可以是设备上生成的,也可以是从外部CA证书导入的

导出CA根证书

导出CA根证书,可以为其它设备使用

 

单击“生成CA根证书”,进入生成CA根证书界面,如图1-5所示。

图1-5 生成CA根证书

 

表1-4 生成CA证书详细说明

参数

说明

证书名称

证书名称

可选信息

详细信息

有效期

CA证书的有效期

密码

CA证书的秘钥

秘钥大小

秘钥大小(bit)

 

1.6.3  本地证书导入

在导航栏中选择“策略配置>对象管理>本地证书>证书>本地证书”,进入本地证书显示界面,如图1-6所示。

图1-6 本地证书显示界面

 

本地证书详细配置说明,如表1-5所示。

表1-5 本地证书优先级详细配置

参数

说明

导入

导入证书

详细信息

证书详细信息

导出

导出证书

删除

删除证书

 

1.6.4  配置解密策略

在导航栏中选择“策略配置>SSL解密策略”,进入解密策略显示界面,如图1-7所示。

图1-7 解密策略显示界面

 

解密策略配置详细说明,如表1-6所示。

表1-6 解密策略显示详细

参数

说明

新建

新建解密策略

删除

删除解密策略

启用

启用解密策略

禁用

禁用解密策略

证书列表

选择引用证书,解密功能作为HTTPS代理,设备作为服务端需要此证书用来和客户端做SSL握手,为通信数据加解密

编辑

编辑解密策略

删除

删除解密策略

 

单击<新建>按钮,进入解密策略配置界面,如图1-8所示。

图1-8 解密策略配置界面

 

解密策略详细配置说明,如表1-7所示。

表1-7 解密策略详细配置

参数

说明

启用

启用解密策略

入接口

匹配入接口,表示从此接口收到的流量才会进行HTTPS解密

源地址

匹配解密策略的源地址,表示符合此源地址的流量才会进行HTTPS解密

目的地址

匹配解密策略的目的地址,表示符合此目的地址的流量才会进行HTTPS解密

解密类型

选择https解密或邮箱解密

HTTPS对象

只有匹配此HTTPS对象中域名的流量,才进行HTTPS解密。

排除站点

排除的站点不进行审计

 

1.6.5  配置审计策略

设备上可以配置多条审计策略,其按照配置顺序从上到下进行匹配,当报文与某条策略匹配成功后,则根据此条解密策略进行报文解密,不再进行后续解密策略的匹配。基于以上的匹配原则,配置解密策略时建议按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。

审计策略过滤条件之间是与的关系。

通过菜单“策略配置 > 审计策略”,进入审计策略显示页面。

单击<新建>按钮,进入审计策略配置页面,如图1-9图1-10图1-11所示。

图1-9 审计策略详细配置页面1-基础配置

 

图1-10 审计策略详细配置页面2-审计对象

 

图1-11 审计策略详细配置3-高级配置

 

审计策略详细配置含义如表1-8所示。

表1-8 审计策略详细配置

标题项

说明

启用

新建策略默认勾选该项,表示策略启用;不勾选表示禁用状态。

描述

审计策略描述。

用户

匹配审计策略的用户对象。

接口

匹配审计策略的源目的接口/域。

源地址

匹配审计策略的源地址。

目的地址

匹配审计策略的目的地址。

HTTP

HTTP类审计对象,可以对HTTP类行为进行审计,主要包括网页访问、网络社区、网页搜索、HTTP文件上传下载、web网盘文件上传下载审计。

邮件

邮件类审计对象,可以对邮件类行为进行审计,主要包括SMTP、POP3、IMAP、Webmail收发邮件及附件审计。

即时通讯

即时通讯类审计对象,主要包括常用通讯软件QQ、微信、飞信等登录账号审计,以及收发消息行为审计,还有其它类通讯软件登录行为审计。

基础协议

基础协议类审计对象,主要包括FTP登录上传下载文件审计。

娱乐股票

娱乐股票类审计对象,主要包括娱乐股票类应用登录账号以及评论类审计。

网络应用

网络应用类审计对象,主要包括出上面具体应用行为外的其它一些应用行为进行审计。

时间

匹配审计策略的时间对象。

日志级别

审计策略日志记录级别,默认是信息级别,可以根据需求配置日志级别。

终端

匹配审计策略终端类型,默认是any所有终端类型,可以根据需求配置终端类型进行审计。

 

1.7  配置SSL证书推送

1.7.1  启用SSL证书推送

在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,勾选启用按钮,配置SSL证书推送地址范围,进入如下图所示界面,在该界面,可以配置要进行证书推送的IP地址范文,各个配置项的含义如下表所示。

图1-12 新建端口镜像规则配置界面

 

表1-9 SSL证书推送配置项含义

参数

说明

启用

是否启用SSL证书推送。

地址范围

SSL证书推送的IP地址范围。

排除地址

排除地址不进行SSL证书推送。

 

1.7.2  修改SSL证书推送

通过菜单“策略配置>SSL解密策略>SSL证书推送”,进入如下图所示的界面,在该界面上,可以修改证书推送地址,各个配置项的含义如下表所示。

图1-13 修改SSL证书推送

 

1.7.3  禁用SSL证书推送

在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,不勾选启用按钮,如下图所示。禁用后系统将不进行CA证书的安装检测,对内网所有用户不进行CA证书的安装推送。

图1-14 禁用SSL证书推送

 

1.7.4  使用限制

·              当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备。

·              证书推送检查基于IP,无法支持多终端共享上网的情况,第一次检测后,一个小时内不再检测。

·              安卓手机、IOS手机和linux系统的PC不支持证书推送。

 

1.8  配置举例

1.8.1  解密策略配置案例

1. 组网需求

在ge3口上开启解密策略,记录审计日志。

图1-15 解密策略配置举例组网图

 

 

2. 配置步骤

(1)      配置HTTPS对象

在导航栏中选择“策略配置>对象管理>URL对象>HTTPS对象”,单击<新建>按钮,进入HTTPS对象配置界面,如图1-16所示。

图1-16 HTTPS对象配置界面

 

(2)      生成CA证书

图1-17所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。

图1-17 生成CA根证书

 

图1-18所示,在生成CA证书以后,导出证书。.

图1-18 导出CA证书

 

(3)      导入本地证书

在导航栏中选择“策略配置>对象管理>本地证书>证书>本地证书”,单击<导入>按钮,进入导入证书配置界面,如图1-19所示。

图1-19 导入证书界面

 

(4)      启用审计策略。

在导航栏中选择“策略配置 > 审计策略”,单击<新建>按钮,进入审计策略配置界面,选择所有审计对象,如图1-20所示。

图1-20 审计策略配置界面

 

 

 

 

 

(5)      配置解密策略

在导航栏中选择“策略配置>SSL解密策略”,单击<新建>按钮,进入解密策略配置界面,如图1-21所示。

图1-21 解密策略配置界面

 

(6)      引用证书

在解密策略显示界面引用生成的证书“https.cer”,如图1-22所示。

图1-22 解密策略配置界面

3. 验证配置

进入“数据中心>日志中心>审计日志”,查看搜索引擎日志,如图1-23所示。

图1-23 搜索引擎日志界面

 

1.8.2  SSL证书推送典型配置举例

1. 组网需求

针对内网地址为“100.1.1.100”的用户开启SSL证书推送,组网如下图所示。

图1-24 组网图

 

2. 配置注意事项

如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。

3. 配置步骤

(1)      选择“策略配置 > SSL解密策略”,单击“新建”按钮,配置解密策略,在证书列表中选择已配置的HTTPS对象,如下图所示。

图1-25 解密策略配置

 

(2)      在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,勾选启用按钮,配置SSL证书推送地址范围,如下图所示。

图1-26 SSL证书推送页面

 

4. 验证配置

(1)      配置完成后,使用地址为“100.1.1.100的测试PC访问http地址,进入302重定向页面,如下图所示。

图1-27 验证结果

 

(2)      单击重定向页面的“下载证书”按钮,将证书文件下载到本地,如下图所示

图1-28 下载证书

 

(3)      安装证书。可单击重定向页面的“安装指导”下载安装说明,参考安装指导进行根证书的安装。

(4)      证书导入成功后,测试PC访问HTTPS网页,可以产生相应的审计日志。选择“数据中心 > 日志中心 > 审计日志 > 搜索引擎日志”界面,查看搜索引擎日志,如下图所示。

图1-29 搜索引擎日志界面

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们