- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-應用代理
本章節下載: 17-應用代理 (357.02 KB)
本幫助主要介紹以下內容:
· 特性簡介
¡ 代理策略的動作
¡ 白名單
¡ SSL解密證書
· 配置指南
¡ 配置代理策略
¡ 配置白名單
應用代理功能支持TCP代理和SSL代理。用戶可通過配置代理策略,配置不同的代理功能。
代理策略中可同時配置多類過濾條件,具體包括:源安全域、目的安全域、源地址、目的地址、用戶和服務。一類過濾條件可以配置多個匹配項,任何一個匹配項被匹配成功則認為該過濾條件匹配成功。一條策略被匹配成功的條件是:策略中已配置的所有過濾條件必須均被匹配成功。
設備上可以配置多個代理策略,設備缺省按照策略的創建順序對報文進行匹配,先創建的先匹配。因此,首先需要將規劃的所有策略按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行排序,然後按照此順序配置每一個代理策略。
設備將根據代理策略中配置的動作對命中策略的流量進行如下處理:
· 代理策略的動作配置為TCP代理時,設備將對命中策略的流量進行TCP代理,為客戶端和服務器端之間提供TCP層隔離,有效的攔截惡意連接和攻擊。
· 代理策略的動作配置為SSL解密時,設備將對命中策略的流量進行SSL代理,並基於此對SSL流量進行解密,並對解密後的流量進行應用安全深度檢測。
· 代理策略的動作配置為不代理時,設備將對命中策略的流量進行透傳。
當用戶不需要或者不能以代理的方式訪問某些服務器時,可以將這些服務器域名加入自定義白名單。設備將對匹配白名單的所有連接直接透傳。
設備支持預定義白名單和自定義白名單。
設備預置的白名單,包含如下類型:
· Chrome-HSTS類型:表示Chrome瀏覽器強製使用HTTPS方式訪問的域名。當關閉Chrome-HSTS全局白名單後,將禁用所有Chrome-HSTS類型白名單;當開啟Chrome-HSTS全局白名單後,可單獨啟用或禁用指定的Chrome-HSTS類型白名單。
· 其他類型:除Chrome-HSTS類型之外的白名單。
用戶手動添加的需要透傳連接的服務器域名。
設備使用用戶配置的服務器域名字符串與SSL請求報文中攜帶的服務器證書的“DNS Name”或“Common Name”字段進行匹配,隻要含有指定字符串的域名均會匹配成功。匹配成功後,則透傳該連接。
設備作為SSL代理服務器時,需要向客戶端發送證書表明自身的身份。但設備並不是直接將客戶端訪問的服務器的證書發送給客戶端,也不是簡單地將自己的證書發送給客戶端。而是根據客戶端訪問的服務器證書的內容,使用導入的SSL解密證書重新簽發一本新的“服務器證書”發送給客戶端。
用戶導入SSL解密證書時,需要為其標識為可信或者不可信,用於簽發不同可信度的新的“服務器證書“。
· 可信:表示客戶端信任的證書。
· 不可信:表示客戶端不信任的證書。
設備將使用PKI域中的CA證書替客戶端驗證服務器是否可信,驗證結果不同,設備使用不同標識的SSL解密證書。當服務器不可信時,設備將使用標識為“不可信”的SSL解密證書簽發一個新的“服務器證書”給客戶端,由客戶端決定是否繼續訪問不可信的服務器;當服務器可信時,設備將使用標識為“可信”的SSL解密證書簽發一個新的“服務器證書”發送給客戶端。有關PKI域的詳細介紹,請參見“PKI聯機幫助”。
代理策略的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > 代理策略”。
2. 在“代理策略”頁麵單擊<新建>按鈕,進入“新建代理策略”頁麵。
3. 新建代理策略,具體配置內容如下表所示:
表-1 代理策略配置參數表
|
參數 |
說明 |
|
策略名稱 |
表示代理策略的名稱 |
|
源安全域 |
配置源安全域作為代理策略的過濾條件 |
|
目的安全域 |
配置目的安全域作為代理策略的過濾條件 |
|
源地址 |
配置源地址作為代理策略的過濾條件(目前僅支持IPv4類型地址) |
|
目的地址 |
配置目的地址作為代理策略的過濾條件(目前僅支持IPv4類型地址) |
|
用戶 |
配置身份識別用戶作為代理策略的過濾條件 |
|
服務 |
配置服務作為代理策略的過濾條件 |
|
動作 |
代理策略動作包括如下: · 不代理:表示對符合代理策略過濾條件的報文進行透傳 · TCP代理:表示對符合代理策略過濾條件的報文進行TCP代理 · SSL解密:表示對符合代理策略過濾條件的報文進行SSL代理,並基於此對SSL流量進行解密,並對解密後的流量進行應用安全深度檢測 |
|
啟用策略 |
選擇開啟後,此代理策略才能生效 |
4. 單擊<確定>按鈕,新建代理策略成功,並會在代理策略頁麵中顯示。
新建自定義白名單的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > 白名單”,進入自定義白名單頁麵。
2. 單擊<新建>按鈕,進入“新建自定義白名單”頁麵。
3. 配置白名單名稱。單擊<確認>按鈕,完成自定義白名單的配置。
4. 單擊<提交>按鈕,使新建的自定義白名單生效。
啟用預定義白名單的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > 白名單 > 預定義白名單”,進入預定義白名單頁麵。
2. 如果啟用Chrome-HSTS類型的白名單,需要先單擊<開啟Chrome-HSTS全局白名單>按鈕,再勾選指定白名單右側的“啟用“複選框。
3. 如果啟用其他類型的白名單,則直接勾選指定白名單右側的“啟用“複選框。
4. 單擊<提交>按鈕,使預定義白名單生效。
SSL解密證書的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > SSL解密證書”,進入SSL解密證書頁麵。
2. 單擊<導入>按鈕,進入導入SSL解密證書頁麵。
3. 具體配置內容如下:
¡ 選擇SSL解密證書文件。
¡ 輸入SSL解密證書密碼。
¡ 配置證書標記為可信或者不可信。
4. 單擊<確認>按鈕,完成SSL解密證書的導入。
· TCP代理與SSL代理對設備的轉發性能會產生一定的影響。配置代理策略時,請盡量細化策略的過濾條件,避免配置過濾條件寬泛的代理策略,影響設備的正常轉發。
· 需要在客戶端瀏覽器上安裝並信任SSL解密證書。防止設備啟用SSL解密功能後,客戶端通過瀏覽器訪問HTTPS類網站時,會彈出服務器證書不是由受信任機構頒發的告警信息,甚至有些應用程序不提示告警信息就直接中斷了連接,影響用戶的正常使用。
· 默認情況下,火狐瀏覽器不共享係統中的證書庫,如果已經在其他瀏覽器上導入SSL解密證書,則可以通過修改火狐瀏覽器中的高級設置,使其共享係統中的證書庫,不再單獨導入證書,具體操作步驟:在地址欄中輸入:about:config,搜索框中輸入:security.enterprise_roots.enabled,雙擊選中的條目,或者單擊鼠標右鍵,選擇切換,修改其值為true。
· 開啟SSL代理後,入侵防禦功能的抓包動作將失效。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
