登錄

歡迎userBOB登陆 退出

簡體中文

  • 產品與解決方案
  • 行業解決方案
  • 服務
  • 支持
  • 合作夥伴
  • 關於我們

09-典型配置舉例

目錄

51-SSL解密典型配置舉例

本章節下載 51-SSL解密典型配置舉例  (194.83 KB)

51-SSL解密典型配置舉例

SSL解密典型配置舉例

本章包含如下內容:

·     簡介

·     配置前提

·     使用限製

·     配置舉例

簡介

 

本文檔介紹SSL解密功能的典型配置舉例。

 

本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請以設備實際情況為準。

本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。

本文檔假設您已了解SSL解密特性。

 

配置SSL解密功能時,需要在安全策略中允許源安全域、目的安全域分別和Local域互通。

配置SSL解密功能後,入侵防禦業務的捕獲動作將失效。

SSL解密功能目前支持對HTTPSSMTPSIMAPSPOP3S協議報文進行解密。

組網需求

圖-1所示,Device作為安全網關部署在內網邊界。由於設備無法對HTTPS流量進行深度安全檢測,導致部分攻擊無法識別。現需要配置SSL解密功能,對HTTPS流量進行SSL解密,再進行入侵防禦業務檢測,保護企業內網用戶安全。

圖-1 SSL解密功能配置組網圖

 

使用版本

本舉例是在F1000-AI-55R8860版本上進行配置和驗證的。

配置步驟

1.     配置接口IP地址

# 選擇“網絡 > 接口 > 接口”,進入接口配置頁麵。

# 單擊接口GE1/0/1右側的<編輯>按鈕,配置如下。

·     安全域:Trust

·     選擇“IPv4地址”頁簽,配置IP地址/掩碼長度:10.1.1.1/24

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成接口IP地址和安全域的配置。

# 按照同樣的步驟配置接口GE1/0/2,配置如下。

·     安全域:Untrust

·     IP地址/掩碼:20.1.1.1/24

·     其他配置項使用缺省值

2.     配置路由

本舉例僅以靜態路由為例,若實際組網中需采用動態路由,請配置對應的動態路由協議。

請根據組網圖中規劃的信息,配置靜態路由,本舉例假設到達外網Web Server的下一跳IP地址為20.1.1.2,實際使用中請以具體組網情況為準,具體配置步驟如下。

# 選擇“網絡 > 路由 > 靜態路由 > IPv4靜態路由”,單擊<新建>按鈕,進入新建IPv4靜態路由頁麵。

# 新建IPv4靜態路由,並進行如下配置:

·     目的IP地址:5.5.5.0

·     掩碼長度:24

·     下一跳IP地址:20.1.1.2

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成靜態路由的配置。

3.     導入SSL解密證書

# 選擇“策略 > 應用代理 > SSL解密證書”,進入SSL解密證書頁麵。單擊<導入>按鈕,導入可信的SSL解密證書,配置內容如下:

·     選擇文件:trust.pem

·     密碼:輸入該文件的密碼

·     證書標記:可信

# 單擊<確定>按鈕,完成可信SSL解密證書的配置。

圖-2 導入可信的SSL解密證書

 

# 按照同樣的步驟,導入不可信的SSL解密證書。配置內容如下:

·     選擇文件:untrust.pem

·     密碼:輸入該文件的密碼

·     證書標記:不可信

# 單擊<確定>按鈕,完成不可信SSL解密證書的配置。

圖-3 導入不可信的SSL解密證書

 

4.     在內網用戶瀏覽器上安裝並信任標記為可信的SSL解密證書。(具體配置步驟略)

5.     配置代理策略

# 選擇“策略 > 應用代理 > 代理策略”,單擊<新建>按鈕,進入新建代理策略界麵。配置如下:

·     名稱:policy1

·     源安全域:trustuntrust

·     目的安全域:trustuntrust

·     服務:https

·     動作:SSL解密

·     啟用策略:開啟

·     解密業務類型:保護內網客戶端

圖-4 新建代理策略

 

# 單擊<確定>按鈕,完成代理策略的配置,設備可對匹配代理策略的HTTPS流量進行解密。

6.     配置入侵防禦功能(具體配置步驟請參見“入侵防禦典型配置舉例”)

7.     配置安全策略

# 選擇“策略 > 安全策略 > 安全策略”,單擊<新建>按鈕,選擇新建策略,進入新建安全策略頁麵。

# 新建安全策略,對企業內網與外網的交互流量進行入侵防禦檢測,並進行如下配置:

·     名稱:trust-untrust

·     源安全域:trust

·     目的安全域:untrust

·     類型:IPv4

·     動作:允許

·     IP地址:10.1.1.0/24

·     內容安全中引用入侵防禦配置文件:ips

·     其他配置項使用缺省值

# 單擊<確定>按鈕,完成安全策略的配置。

# 按照同樣的步驟,配置安全策略untrust-trust,配置如下:

·     名稱:untrust-trust

·     源安全域:untrust

·     目的安全域:trust

·     類型:IPv4

·     動作:允許

·     目的IP地址:10.1.1.0/24

·     內容安全中引用入侵防禦配置文件:ips

·     其他配置項使用缺省值

# 按照同樣的步驟,配置安全策略trust-local,保證設備可作為代理服務器,對客戶端向服務器發起的訪問流量進行代理,並進行如下配置:

·     名稱:trust-local

·     源安全域:trustlocal

·     目的安全域:localtrust

·     類型:IPv4

·     動作:允許

·     其他配置項使用缺省值

# 按照同樣的步驟,配置安全策略untrust-local,保證設備可作為代理客戶端,對服務器發往客戶端的流量進行代理,並進行如下配置:

·     名稱:untrust-local

·     源安全域:untrustlocal

·     目的安全域:localuntrust

·     類型:IPv4

·     動作:允許

·     其他配置項使用缺省值

8.     激活配置

# 完成安全策略配置後,需要在安全策略頁麵單擊<立即加速>按鈕,激活安全策略加速。

驗證配置

以上配置完成後,設備將對HTTPS流量進行SSL解密,解密後再進行入侵防禦業務的檢測。

不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!

BOB登陆 官網
聯係我們