- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
26-應用代理
本章節下載: 26-應用代理 (407.21 KB)
本幫助主要介紹以下內容:
· 特性簡介
○ 代理策略的動作
○ 白名單
○ SSL證書
· 配置指南
○ 配置代理策略
○ 配置白名單
應用代理功能支持TCP代理和SSL代理。用戶可通過配置代理策略,配置不同的代理功能。
代理策略中可同時配置多類過濾條件,具體包括:源安全域、目的安全域、源地址、目的地址、用戶和服務。一類過濾條件可以配置多個匹配項,任何一個匹配項被匹配成功則認為該過濾條件匹配成功。一條策略被匹配成功的條件是:策略中已配置的所有過濾條件必須均被匹配成功。
設備上可以配置多個代理策略,設備缺省按照策略的創建順序對報文進行匹配,先創建的先匹配。因此,首先需要將規劃的所有策略按照“深度優先”的原則(即控製範圍小的、條件細化的在前,範圍大的在後)進行排序,然後按照此順序配置每一個代理策略。
設備將根據代理策略中配置的動作對命中策略的流量進行如下處理:
· 代理策略的動作配置為TCP代理時,設備將對命中策略的流量進行TCP代理,為客戶端和服務器端之間提供TCP層隔離,有效的攔截惡意連接和攻擊。
· 代理策略的動作配置為SSL解密時,設備將對命中策略的流量進行SSL代理,並基於此對SSL流量進行解密,並對解密後的流量進行應用安全深度檢測。
· 代理策略的動作配置為不代理時,設備將對命中策略的流量進行透傳。
當用戶不需要或者不能以代理的方式訪問某些服務器時,可以將這些服務器域名加入自定義白名單。設備將對匹配白名單的所有連接直接透傳。
設備支持預定義白名單和自定義白名單。
設備預置的白名單,包含如下類型:
· Chrome-HSTS類型:表示Chrome瀏覽器強製使用HTTPS方式訪問的域名。當關閉Chrome-HSTS全局白名單後,將禁用所有Chrome-HSTS類型白名單;當開啟Chrome-HSTS全局白名單後,可單獨啟用或禁用指定的Chrome-HSTS類型白名單。
· 其他類型:除Chrome-HSTS類型之外的白名單。
用戶手動添加的需要透傳連接的服務器域名。
設備使用用戶配置的服務器域名字符串與SSL請求報文中攜帶的服務器證書的“DNS Name”或“Common Name”字段進行匹配,隻要含有指定字符串的域名均會匹配成功。匹配成功後,則透傳該連接。
SSL解密功能支持如下類型:
· 保護內網客戶端:用於保護內網客戶端的場景,可與DPI深度安全功能配合使用。設備解密報文後再對報文進行DPI深度安全業務的檢測,防止內網客戶端受到外部惡意網站的攻擊。在此場景下,設備需要使用代理服務器證書與客戶端進行SSL協商。
· 保護內網服務器:用於保護內網服務器的場景,可與DPI深度安全功能配合使用。設備解密報文後再對報文進行DPI深度安全業務的檢測,防止外部惡意流量對內網服務器進行攻擊。在此場景下,設備需要使用導入的內網服務器證書與客戶端進行SSL協商。
請務必根據不同的使用場景正確配置SSL解密功能的保護對象,並配置相應類型的證書與客戶端進行SSL協商。
SSL解密功能的保護對象不同,需要配置相應類型的證書與客戶端進行SSL協商。
在保護內網客戶端的場景下,設備作為SSL代理服務器時,需要向客戶端發送證書表明自身的身份。但設備並不是直接將客戶端訪問的服務器的證書發送給客戶端,也不是簡單地將自己的證書發送給客戶端。而是根據客戶端訪問的服務器證書的內容,使用導入的SSL解密證書重新簽發一本新的“服務器證書”發送給客戶端。
用戶導入SSL解密證書時,需要為其標識為可信或者不可信,用於簽發不同可信度的新的“服務器證書“。
· 可信:表示客戶端信任的證書。
· 不可信:表示客戶端不信任的證書。
設備將使用PKI域中的CA證書替客戶端驗證服務器是否可信,驗證結果不同,設備使用不同標識的SSL解密證書。當服務器不可信時,設備將使用標識為“不可信”的SSL解密證書簽發一個新的“服務器證書”給客戶端,由客戶端決定是否繼續訪問不可信的服務器;當服務器可信時,設備將使用標識為“可信”的SSL解密證書簽發一個新的“服務器證書”發送給客戶端。有關PKI域的詳細介紹,請參見“PKI聯機幫助”。
在SSL代理保護內網服務器的場景下,需要用戶導入受保護的內網服務器證書。導入證書後,設備將對證書進行解析,並生成一個CER格式的證書文件和一個密鑰文件。CER證書用於校驗服務器身份,密鑰文件用於後續SSL代理過程中加解密報文。設備將計算CER證書文件的MD5值,並將MD5值作為證書的唯一標識。
在SSL代理過程中,設備收到服務器發來的證書後,會先計算證書的MD5值,並與已導入的內網服務器證書的MD5值進行匹配。如果MD5值相同,則認為該證書可信,並使用導入的內網服務器證書與客戶端進行SSL協商;如果MD5值不同,則認為證書不可信,不進行SSL代理。
用戶可導入多個內網服務器證書,若導入證書的MD5值已存在,則覆蓋MD5值相同的已有證書。
· TCP代理與SSL代理對設備的轉發性能會產生一定的影響。配置代理策略時,請盡量細化策略的過濾條件,避免配置過濾條件寬泛的代理策略,影響設備的正常轉發。
· 設備中導入可信的SSL解密證書後,必須將該證書導入到客戶端瀏覽器的受信任的根證書頒發機構列表中。防止設備啟用SSL解密功能後,客戶端通過瀏覽器訪問HTTPS類網站時,會彈出服務器證書不是由受信任機構頒發的告警信息,甚至有些應用程序不提示告警信息就直接中斷了連接,影響用戶的正常使用。
· 設備PKI域中需要導入用戶信任的網站服務器證書,否則設備在SSL代理過程中無法判斷服務器證書的有效性。當用戶訪問信任的網站時,可能會出現告警窗口提示訪問的網站證書不受信任,或者會出現部分頁麵無法顯示以及無法連接等情況。有關PKI域的詳細介紹,請參見“PKI聯機幫助”。
· 如果設備中僅導入了不可信的SSL解密證書,且PKI域中導入了用戶信任的網站服務器證書,則會導致客戶端與這些服務器無法建立連接。有關PKI域的詳細介紹,請參見“PKI聯機幫助”。
· 默認情況下,火狐瀏覽器不共享係統中的證書庫,如果已經在其他瀏覽器上導入SSL解密證書,則可以通過修改火狐瀏覽器中的高級設置,使其共享係統中的證書庫,不再單獨導入證書,具體操作步驟:在地址欄中輸入:about:config,搜索框中輸入:security.enterprise_roots.enabled,雙擊選中的條目,或者單擊鼠標右鍵,選擇切換,修改其值為true。
· 開啟SSL代理後,入侵防禦功能的抓包動作將失效。
· SSL解密動作僅對基於SSL加密的協議流量生效,例如HTTPS、SMTPS和POP3S等。
· 在非對稱組網環境(即報文來回路徑不一致)下,TCP代理與SSL代理功能將失效。
· 本功能的支持情況與設備型號有關,請以設備實際情況為準。
代理策略的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > 代理策略”。
2. 在“代理策略”頁麵單擊<新建>按鈕,進入“新建代理策略”頁麵。
3. 新建代理策略,具體配置內容如下表所示:
表-1 代理策略配置參數表
|
參數 |
說明 |
|
策略名稱 |
表示代理策略的名稱 |
|
源安全域 |
配置源安全域作為代理策略的過濾條件 |
|
目的安全域 |
配置目的安全域作為代理策略的過濾條件 |
|
源地址 |
配置源地址作為代理策略的過濾條件 |
|
目的地址 |
配置目的地址作為代理策略的過濾條件 |
|
用戶 |
配置身份識別用戶作為代理策略的過濾條件 |
|
服務 |
配置服務作為代理策略的過濾條件 |
|
動作 |
代理策略動作包括如下: · 不代理:表示對符合代理策略過濾條件的報文進行透傳 · TCP代理:表示對符合代理策略過濾條件的報文進行TCP代理 · SSL解密:表示對符合代理策略過濾條件的報文進行SSL代理,並基於此對SSL流量進行解密,並對解密後的流量進行應用安全深度檢測 |
|
解密業務類型 |
類型包括如下: · 保護內網客戶端:表示SSL解密功能用於保護內網客戶端的場景 · 保護內網服務器:表示SSL解密功能用戶保護內網服務器的場景 本功能僅在動作為SSL解密時配置 |
|
啟用策略 |
選擇開啟後,此代理策略才能生效 |
4. 單擊<確定>按鈕,新建代理策略成功,並會在代理策略頁麵中顯示。
新建自定義白名單的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > 白名單”,進入自定義白名單頁麵。
2. 單擊<新建>按鈕,進入“新建自定義白名單”頁麵。
3. 配置白名單名稱。單擊<確認>按鈕,完成自定義白名單的配置。
4. 單擊<提交>按鈕,使新建的自定義白名單生效。
啟用預定義白名單的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > 白名單 > 預定義白名單”,進入預定義白名單頁麵。
2. 如果啟用Chrome-HSTS類型的白名單,需要先單擊<開啟Chrome-HSTS全局白名單>按鈕,再勾選指定白名單右側的“啟用“複選框。
3. 如果啟用其他類型的白名單,則直接勾選指定白名單右側的“啟用“複選框。
4. 單擊<提交>按鈕,使預定義白名單生效。
SSL解密證書的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > SSL證書”,選擇“SSL解密證書”頁簽,進入SSL解密證書頁麵。
2. 單擊<導入>按鈕,進入導入SSL解密證書頁麵。
3. 具體配置內容如下:
○ 選擇SSL解密證書文件。
○ 輸入SSL解密證書密碼。
○ 配置證書標記為可信或者不可信。
4. 單擊<確認>按鈕,完成SSL解密證書的導入。
內部服務器證書的具體配置步驟如下:
1. 選擇“策略 > 應用代理 > SSL證書”,選擇“內部服務器證書”頁簽,進入內部服務器證書頁麵。
2. 單擊<導入>按鈕,進入導入內部服務器證書頁麵。
3. 具體配置內容如下:
○ 選擇內部服務器證書文件。
○ 輸入內部服務器證書密碼。
4. 單擊<確認>按鈕,完成內部服務器證書的導入。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
