- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
40-SSL解密典型配置舉例
本章節下載: 40-SSL解密典型配置舉例 (261.47 KB)
SSL解密典型配置舉例
本文檔介紹SSL解密功能的典型配置舉例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解SSL解密特性。
配置SSL解密功能時,需要在安全策略的目的安全域中加入Local域。
配置SSL解密功能後,入侵防禦功能的捕獲動作將失效。
如圖-1所示,Device作為安全網關部署在內網邊界。由於設備無法對HTTPS流量進行深度安全檢測,導致部分攻擊無法識別。現需要配置SSL解密功能,對HTTPS流量進行SSL解密,再進行DPI深度安全業務檢測,保護企業內網用戶安全。
圖-1 SSL解密功能配置組網圖
本舉例是在F1080的R9333版本上進行配置和驗證的。
1. 配置各接口IP地址並將接口加入對應的安全域
# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。
# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。
· 加入安全域:Trust。
· IP地址/掩碼:10.1.1.1/24。
· 其他配置項保持默認情況即可。
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
# 按照同樣的步驟配置接口GE1/0/2,配置如下。
· 加入安全域:Untrust。
· IP地址/掩碼:20.1.1.1/24。
· 其他的配置項保持默認情況即可。
# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。
2. 導入SSL解密證書
# 選擇“策略 > 應用代理 > SSL解密證書”,進入SSL解密證書頁麵。單擊<導入>按鈕,導入可信的SSL解密證書,配置內容如下:
· 選擇證書文件:trust.pem
· 密碼:輸入該文件的密碼
· 證書標記:可信
# 單擊<確定>按鈕,完成可信SSL解密證書的配置。
圖-2 導入可信的SSL解密證書
# 按照同樣的步驟,導入不可信的SSL解密證書。配置內容如下:
· 選擇證書文件:untrust.pem
· 密碼:輸入該文件的密碼
· 證書標記:不可信
# 單擊<確定>按鈕,完成不可信SSL解密證書的配置。
圖-3 導入不可信的SSL解密證書
3. 在內網用戶瀏覽器上安裝並信任標記為可信的SSL解密證書。(具體配置步驟略)
4. 配置代理策略
# 選擇“策略 > 應用代理 > 代理策略”,單擊<新建>按鈕,進入新建代理策略界麵。配置如下:
· 策略名稱:policy1
· 源安全域:trust、untrust
· 目的安全域:trust、untrust
· 服務:https
· 動作:SSL解密
· 啟用策略:開啟
圖-4 新建代理策略
# 單擊<確定>按鈕,完成代理策略的配置。
5. 配置安全策略並引用內容安全業務(其中,目的安全域中需要添加Local域,具體配置步驟略)
以上配置完成後,設備可對HTTPS流量進行SSL解密,解密後再進行DPI深度安全業務的檢測。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
