更新时间:2023-06-05
SSL解密策略的作用是对使用SSL安全协议连接的应用,包括加密后的网站、webmail、web-bbs、 POP3、IMAP、SMTP等进行内容审计识别,网上银行、在线支付等金融相关的网站除外。
两种解密方式:SSL中间人解密和准入客户端代理解密。选择准入客户端代理解密需要配置准入策略才能生效。
表16解密方式的区别说明表
|
中间人代理解密 |
准入客户端代理解密 |
要求 |
无PC系统要求、需要安装证书 |
windows系统的用户、需安装客户端、需要安装证书 |
推送方式 |
1.AD域、桌管软件、准入客户端推送安装证书,用户无感知 2.未安装证书用户,访问网页时触发重定向到证书安装页面,引导下载证书安装工具 |
1.准入客户端静默安装,用户没有感知 2.AD域、桌管软件、准入客户端推送安装证书,用户无感知 3.未安装证书用户,访问网页时触发重定向到证书安装页面,引导下载安装工具 |
优点 |
无需安装客户端,无PC系统要求 |
无需消耗AC性能,审计内容更加丰富 |
注意 |
基于网页分类解密需要消耗更多CPU资源,建议自定义域名进行解密,以减少过多流量解密造成对性能下降。 有全解密需求可以使用带硬件加速卡的硬件型号设备,硬件加速卡解密性能相比软件解密性能提升一倍,具体型号可以联系深信服各区域办事处或深信服渠道合作伙伴进行了解。 |
表17SSL内容识别注意事项说明表
通用 |
HTTPS解密功能配置在自定义填写域名列表的情况下,域名列表中不支持IP地址。 |
HTTPS解密功能在使用的时候需要在终端上安装设备证书到受信任的根证书颁发机构。 |
HTTPS解密不支持QUIC协议。建议勾选“解密审计时,拒绝QUIC协议”。 |
HTTPS解密功能与SSL VPN的Easy connect协议存在冲突,在开启了HTTPS解密功能的情况下,终端上如果需要使用Easy connect通过SSL VPN访问总部资源,需要在AC设备的SSL全局解密的排除列表中排除掉SSL VPN服务器地址,否则会出现连接中断问题。 |
该功能需要开通[多功能项授权/SSL内容识别授权]。 |
当SSL中间人解密和准入客户端代理解密同时配置时,策略列表从上往下匹配,仅匹配到的第一条生效。 |
若终端为虚拟机,不建议使用准入客户端代理解密,可使用SSL中间人解密。 |
客户端 |
当开启需要PC安装准入客户端,目前只支持Windows系统(XP系统不支持)。Mac系统和Linux系统可使用SSL中间人进行解密。 |
代理客户端默认只对443端口进行解密。 |
客户端的证书和SSL内容识别的证书是不同的证书。 |
中间人解密 |
HTTPS解密支持设备本身做代理的场景,但是只支持HTTPS代理、不支持SOCKS代理,客户端解密方案不支持在代理场景使用。 |
存在证书双向校验的场景下,不能使用HTTPS解密功能,否则会存在客户端校验失败导致连接出错问题。 |
如果终端的DNS请求数据不经过设备或者终端访问的HTTPS网站是直接以IP地址进行访问的,则不支持HTTPS解密功能。 |
操作步骤
步骤1.在[行为管理/访问权限策略],点击新增<SSL解密策略>,点击启用该策略。
步骤2.填写策略名称、描述信息,策略名称是唯一的必填项,描述信息非必填项。
步骤3.解密方式可根据实际情况选择SSL中间人解密或者准入客户端代理解密。使用说明参考解密方式区别说明表。
步骤4.定义解密范围,勾选<加密web应用内容识别>,可选全部或者自定义两种方式进行配置,web应用仅支持识别使用443端口。
步骤5.选择自定义内容识别时,点击可根据需求对SaaS应用或网页分类进行勾选。
步骤6.勾选“解密审计时,拒绝QUIC协议”,SSL解密不对QUIC协议的域名生效。
步骤7.点击<全局解密排除>,配置不需要做SSL内容识别的IP、域名、进程。三者是相与的关系,可灵活搭配使用。
步骤8.当需要识别邮件的25、465、143、993、587端口的内容时,需要开启邮件内容识别。
步骤9.[点击下载SSL识别根证书],将下载的根证书安装到电脑上面,消除由于启用SSL内容识别带来的浏览器安全告警。如果在AD域环境下需要消除浏览器的安全告警,点击[AD域环境下解除终端浏览器告警的方法],详细内容参考文档中的配置步骤。
步骤10.设置完成后,点击<提交>按钮,完成此策略的编辑,如果您还需要编辑其他类型的策略,则继续选择其他控制类型进行编辑。
:
1.SSL内容识别对网上银行、在线支付等金融相关无效。为防止敏感金融信息被审计到,设备中对此类信息做了屏蔽。
2.https场景要配置SSL内容识别。