37-SSL解密策略
本章节下载: 37-SSL解密策略 (979.41 KB)
目 录
随着市场网络安全的发展,越来越多的客户将原有的http业务逐步的迁移到https上,这样很大程度上保证了客户访问网络的安全,数据不会轻易的被第三方窥视。这样网络管理员很大程度上,很难得到内网用户访问外网的相关数据。对企业,集团内网有很大的风险。基于此客户对行为管理产品的厂商提出要求,需要设备能够解密客户https的流量,从而完成对原有https流量的审计功能。
解密策略对设备的入接口、源IP、目的IP、https对象进行访问控制,主要是对使用SSL协议传输的流量做审计,支持HTTPS、邮箱类审计功能,并产生审计日志。
由于SSL流量是加密传输的,设备无法对加密的数据进行深度安全检测、审计等。所以HTTPS解密的本质就是对通过设备的报文进行SSL代理,本设备可通过配置解密策略来实现对所需要的流量进行SSL代理。
图1-1 SSL代理功能示意图
如上图所示,设备将与解密策略过滤条件匹配成功的报文进行SSL代理,即分别与客户端和服务器建立SSL连接,然后对传输的报文先进行解密,再进行深度安全检测或者审计。完成流量审计后,对放行的报文重新进行加密,并发送到目的服务器。
一个解密策略基本由过滤条件(包括入接口、源地址、目的地址等)和解密类型(即解密的对象)两部分组成,设备只会对于符合过滤条件的流进行解密。
设备上可以配置多条解密策略,其按照配置顺序从上到下进行匹配,当报文与某条策略匹配成功后,则根据此条解密策略进行报文解密,不再进行后续解密策略的匹配。基于以上的匹配原则,配置解密策略时建议按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
设备支持的过滤条件包括:入接口、源地址、目的地址和HTTPS对象。其中HTTPS对象过滤条件仅支持在HTTPS解密类型中进行配置。一个解密策略中过滤条件之间是与的关系。
实现SSL代理的本质就是通过设备在Client和Server之间进行证书管理。通过证书管理设备可以分别与Client和Server建立SSL连接,从而对数据进行解密。
使用设备自带的证书签发功能,或支持导入第三方证书,并被解密策略引用生效。用户证书一旦被解密策略引用,在证书过期之前,策略中包含的其它域名即可顺利的完成浏览。
· 设备自身支持证书签发的能力,可以为ipsecvpn,https解密等功能签发相关证书。
· 支持证书导入导出的功能,方便证书的管理,并且可导入第三方证书。解密策略在用户证书中选取一个证书使用,且支持证书之间的切换,证书被其它模块引用时仍可被解密策略引用。
· 支持SSL证书推送,可以实现CA证书安装检测,对指定用户进行CA证书下载页面的推送,终端用户可以在推送页面直接下载证书及安装指导。
目前此功能支持的解密类型有HTTPS流量和邮箱流量。
配置此种解密类型时,需要保证客户端的DNS报文经过设备,解密策略才能正常匹配生效,若DNS报文不经过设备的话,由于获取不到域名与IP的对应关系,这样经过设备的https域名站点的报文的目的IP与配置的HTTPS对象中域名解析的IP匹配不上,无法进入到解密流程从而也就无法解密。
系统内置的站点支持https解密功能,目前系统提供128个常见的站点域名,并且客户可以根据自己的需要自定义10个域名。
系统自带的站点格式举例:
· www.baidu.com
· www.taobao.com
· www.jd.com
· www.sogou.com
· www.so.com
· www.taobao.com
· www.amazon.cn
该功能目前只针对如下常见邮箱提供解密:QQ(个人,企业),网易(163/126),标准的pop3(995)、imap(993)和smtp(465)同时开启ssl加密的邮箱。
当设备只需要进行邮箱解密,而不需要HTTPS流量解密时,不需要DNS流量经过设备。
解密功能提供特定站点排除功能以及源地址排除的功能,针对排除的地址和站点不做https的解密,两者之间是或的关系,只要一个满足即排除不做解密,源地址排除功能使用地址对象配置。
解密的结果是为了可以对报文中的数据进行审计:
· 符合解密策略的数据全部上送审计模块完成审计,上送审计模块的全部是完成解密的明文数据。
· 符合解密策略的邮件,全部上送到审计模块,在完成审计的同时还支持基于关键字的过滤功能。保证内网用户的绝密信息不外泄。
在导航栏中选择“策略配置>对象管理>URL>HTTPS对象”进入HTTPS对象显示界面,如图1-2所示。
图1-2 HTTPS对象显示界面
HTTPS对象的含义如表1-1所示。
表1-1 HTTPS对象显示信息描述表
参数 |
说明 |
新建 |
新建显示信息描述表 |
删除 |
删除显示信息描述表 |
编辑 |
编辑显示信息描述表 |
单击<新建>按钮,进入HTTPS对象配置界面,如图1-3所示。
图1-3 HTTPS对象配置界面
HTTPS对象详细配置说明,如表1-2所示。
表1-2 HTTPS对象策略详细配置
参数 |
说明 |
名称 |
名称 |
描述 |
描述 |
自定义https对象 |
自定义https域名对象 |
已选预定分类 |
预定义的HTTPS域名对象 |
在导航栏中选择“策略配置>对象管理>CA服务器>根CA配置管理”,进入本地证书显示界面,如图1-4所示。
图1-4 根CA配置管理显示界面
根证书管理界面详细说明,如表1-3所示。
表1-3 根CA管理界面详细
参数 |
说明 |
生成CA根证书 |
生成CA根证书,为解密策略进行服务 |
导入CA根证书 |
导入CA根证书,此CA证书可以是设备上生成的,也可以是从外部CA证书导入的 |
导出CA根证书 |
导出CA根证书,可以为其它设备使用 |
单击“生成CA根证书”,进入生成CA根证书界面,如图1-5所示。
图1-5 生成CA根证书
表1-4 生成CA证书详细说明
参数 |
说明 |
证书名称 |
证书名称 |
可选信息 |
详细信息 |
有效期 |
CA证书的有效期 |
密码 |
CA证书的秘钥 |
秘钥大小 |
秘钥大小(bit) |
在导航栏中选择“策略配置>对象管理>本地证书>证书>本地证书”,进入本地证书显示界面,如图1-6所示。
本地证书详细配置说明,如表1-5所示。
参数 |
说明 |
导入 |
导入证书 |
详细信息 |
证书详细信息 |
导出 |
导出证书 |
删除 |
删除证书 |
在导航栏中选择“策略配置>SSL解密策略”,进入解密策略显示界面,如图1-7所示。
解密策略配置详细说明,如表1-6所示。
参数 |
说明 |
新建 |
新建解密策略 |
删除 |
删除解密策略 |
启用 |
启用解密策略 |
禁用 |
禁用解密策略 |
证书列表 |
选择引用证书,解密功能作为HTTPS代理,设备作为服务端需要此证书用来和客户端做SSL握手,为通信数据加解密 |
编辑 |
编辑解密策略 |
删除 |
删除解密策略 |
单击<新建>按钮,进入解密策略配置界面,如图1-8所示。
解密策略详细配置说明,如表1-7所示。
参数 |
说明 |
启用 |
启用解密策略 |
入接口 |
匹配入接口,表示从此接口收到的流量才会进行HTTPS解密 |
源地址 |
匹配解密策略的源地址,表示符合此源地址的流量才会进行HTTPS解密 |
目的地址 |
匹配解密策略的目的地址,表示符合此目的地址的流量才会进行HTTPS解密 |
解密类型 |
选择https解密或邮箱解密 |
HTTPS对象 |
只有匹配此HTTPS对象中域名的流量,才进行HTTPS解密。 |
排除站点 |
排除的站点不进行审计 |
设备上可以配置多条审计策略,其按照配置顺序从上到下进行匹配,当报文与某条策略匹配成功后,则根据此条解密策略进行报文解密,不再进行后续解密策略的匹配。基于以上的匹配原则,配置解密策略时建议按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行配置。
审计策略过滤条件之间是与的关系。
通过菜单“策略配置 > 审计策略”,进入审计策略显示页面。
单击<新建>按钮,进入审计策略配置页面,如图1-9、图1-10、图1-11所示。
图1-11 审计策略详细配置3-高级配置
审计策略详细配置含义如表1-8所示。
标题项 |
说明 |
启用 |
新建策略默认勾选该项,表示策略启用;不勾选表示禁用状态。 |
描述 |
审计策略描述。 |
用户 |
匹配审计策略的用户对象。 |
接口 |
匹配审计策略的源目的接口/域。 |
源地址 |
匹配审计策略的源地址。 |
目的地址 |
匹配审计策略的目的地址。 |
HTTP |
HTTP类审计对象,可以对HTTP类行为进行审计,主要包括网页访问、网络社区、网页搜索、HTTP文件上传下载、web网盘文件上传下载审计。 |
邮件 |
邮件类审计对象,可以对邮件类行为进行审计,主要包括SMTP、POP3、IMAP、Webmail收发邮件及附件审计。 |
即时通讯 |
即时通讯类审计对象,主要包括常用通讯软件QQ、微信、飞信等登录账号审计,以及收发消息行为审计,还有其它类通讯软件登录行为审计。 |
基础协议 |
基础协议类审计对象,主要包括FTP登录上传下载文件审计。 |
娱乐股票 |
娱乐股票类审计对象,主要包括娱乐股票类应用登录账号以及评论类审计。 |
网络应用 |
网络应用类审计对象,主要包括出上面具体应用行为外的其它一些应用行为进行审计。 |
时间 |
匹配审计策略的时间对象。 |
日志级别 |
审计策略日志记录级别,默认是信息级别,可以根据需求配置日志级别。 |
终端 |
匹配审计策略终端类型,默认是any所有终端类型,可以根据需求配置终端类型进行审计。 |
在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,勾选启用按钮,配置SSL证书推送地址范围,进入如下图所示界面,在该界面,可以配置要进行证书推送的IP地址范文,各个配置项的含义如下表所示。
表1-9 SSL证书推送配置项含义
参数 |
说明 |
启用 |
是否启用SSL证书推送。 |
地址范围 |
SSL证书推送的IP地址范围。 |
排除地址 |
排除地址不进行SSL证书推送。 |
通过菜单“策略配置>SSL解密策略>SSL证书推送”,进入如下图所示的界面,在该界面上,可以修改证书推送地址,各个配置项的含义如下表所示。
图1-13 修改SSL证书推送
在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,不勾选启用按钮,如下图所示。禁用后系统将不进行CA证书的安装检测,对内网所有用户不进行CA证书的安装推送。
图1-14 禁用SSL证书推送
· 当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备。
· 证书推送检查基于IP,无法支持多终端共享上网的情况,第一次检测后,一个小时内不再检测。
· 安卓手机、IOS手机和linux系统的PC不支持证书推送。
在ge3口上开启解密策略,记录审计日志。
图1-15 解密策略配置举例组网图
(1) 配置HTTPS对象
在导航栏中选择“策略配置>对象管理>URL对象>HTTPS对象”,单击<新建>按钮,进入HTTPS对象配置界面,如图1-16所示。
图1-16 HTTPS对象配置界面
(2) 生成CA证书
如图1-17所示,进入“策略配置>对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。
图1-17 生成CA根证书
如图1-18所示,在生成CA证书以后,导出证书。.
(3) 导入本地证书
在导航栏中选择“策略配置>对象管理>本地证书>证书>本地证书”,单击<导入>按钮,进入导入证书配置界面,如图1-19所示。
(4) 启用审计策略。
在导航栏中选择“策略配置 > 审计策略”,单击<新建>按钮,进入审计策略配置界面,选择所有审计对象,如图1-20所示。
(5) 配置解密策略
在导航栏中选择“策略配置>SSL解密策略”,单击<新建>按钮,进入解密策略配置界面,如图1-21所示。
(6) 引用证书
在解密策略显示界面引用生成的证书“https.cer”,如图1-22所示。
进入“数据中心>日志中心>审计日志”,查看搜索引擎日志,如图1-23所示。
针对内网地址为“100.1.1.100”的用户开启SSL证书推送,组网如下图所示。
如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。
(1) 选择“策略配置 > SSL解密策略”,单击“新建”按钮,配置解密策略,在证书列表中选择已配置的HTTPS对象,如下图所示。
图1-25 解密策略配置
(2) 在导航栏中选择“策略配置 > SSL解密策略 > SSL证书推送”,进入证书推送页面,勾选启用按钮,配置SSL证书推送地址范围,如下图所示。
图1-26 SSL证书推送页面
(1) 配置完成后,使用地址为“100.1.1.100的测试PC访问http地址,进入302重定向页面,如下图所示。
(2) 单击重定向页面的“下载证书”按钮,将证书文件下载到本地,如下图所示
图1-28 下载证书
(3) 安装证书。可单击重定向页面的“安装指导”下载安装说明,参考安装指导进行根证书的安装。
(4) 证书导入成功后,测试PC访问HTTPS网页,可以产生相应的审计日志。选择“数据中心 > 日志中心 > 审计日志 > 搜索引擎日志”界面,查看搜索引擎日志,如下图所示。
图1-29 搜索引擎日志界面
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!