防火牆產品如何實現SSL代理功能

5. 保護內網服務器場景下SSL代理實現原理

SSL代理功能是基於TCP代理功能實現的，當設備根據代理策略判斷需要進行SSL代理時，先進行TCP代理，建立TCP連接，再進行SSL代理。在保護內網服務器的場景下，SSL代理實現流程如圖1-4所示（以外網客戶端訪問內網服務器為例）。

圖1-4 保護內網服務器場景下SSL代理原理圖

保護內網服務器的場景下，SSL代理實現流程如下：

(10)     管理員獲取需要保護的內網服務器的證書，並導入到設備中。

(11)     設備接收到客戶端發起的SSL連接建立請求。

(12)     設備作為代理客戶端向服務器發起建立SSL連接建立請求。

(13)     服務器響應請求並發送服務器證書。

(14)     設備驗證服務器證書的合法性，驗證通過後與服務器協商加密算法等信息，完成SSL握手，成功建立SSL連接。

(15)     設備作為代理服務器，響應客戶端請求，並將導入的內網服務器證書發送給客戶端。

(16)     客戶端完成對服務器證書的校驗後，與設備完成SSL握手，建立SSL連接。

(17)     客戶端、服務器和設備之間傳輸加密的SSL報文。

(18)     設備解密SSL流量，並進行DPI深度安全業務處理。

(19)     完成DPI業務處理後，設備將再次加密後的報文發往服務器。

1.1.3  代理策略規則

代理策略對報文的控製是通過代理策略規則實現的，代理策略根據配置的代理策略規則對流量進行劃分，對不同的流量進行不同代理方式的處理。規則中可以設置匹配報文的過濾條件以及處理報文的動作。

1. 規則的名稱和編號

代理策略中的每條規則都由唯一的名稱和編號標識。名稱必須在創建規則時由用戶手工指定；而編號既可以手工指定，也可以由係統自動分配。

2. 規則的過濾條件

每條規則中均可以配置多種過濾條件，具體包括：源安全域、目的安全域、源IP地址、目的IP地址、用戶、用戶組和服務。每種過濾條件中均可以配置多個匹配項，比如源安全域過濾條件中可以指定多個源安全域，任何一個匹配項被匹配成功則認為該過濾條件匹配成功。

3. 規則的匹配順序

缺省情況下，設備按照規則創建的先後順序對報文進行匹配，先創建的先匹配，也可以通過手工的方式調整規則的匹配順序。當一條規則匹配成功後，則結束匹配過程。

建議將規劃的所有規則按照“深度優先”的原則（即控製範圍小的、條件細化的在前，範圍大的在後）進行排序，再按照此順序配置每一條規則。

4. 規則的動作

設備將根據代理策略規則中配置的動作，對命中策略的流量進行如下處理：

·     動作配置為TCP代理時，設備將對命中策略的流量進行TCP代理。

·     動作配置為SSL解密時，設備將對命中策略的流量進行SSL代理，並基於此對SSL流量進行解密，並對解密後的流量進行DPI深度安全檢測。

其中，SSL解密功能支持如下防護類型：

¡     客戶端：用於保護內網客戶端的場景。

¡     服務器：用於保護內網服務器的場景。

·     動作配置為不代理時，設備將對命中策略的流量進行透傳。

5. 規則的匹配過程

代理策略對規則的匹配過程如圖1-5所示：

圖1-5 代理策略的報文處理流程圖

代理策略對報文的處理過程如下：

(20)     將報文的屬性信息與過濾條件中的匹配項進行匹配。每種過濾條件的多個匹配項之間是或的關係，即報文與某一個過濾條件中的任意一項匹配成功，則報文與此過濾條件匹配成功；若報文與某一個過濾條件中的所有項都匹配失敗，則報文與此過濾條件匹配失敗。

(21)     若報文與某條規則中的所有過濾條件都匹配成功（用戶與用戶組匹配一項即可），則報文與此條規則匹配成功。若有一個過濾條件不匹配，則報文與此條規則匹配失敗，報文繼續匹配下一條規則。以此類推，直到最後一條規則，若報文還未與規則匹配成功，則設備對此報文執行策略配置的缺省動作。

(22)     若報文與某條規則匹配成功，則結束此匹配過程，並對此報文執行規則中配置的動作。

(23)     若報文與任何規則都不能匹配成功，則對報文執行代理策略的缺省動作。

1.2  代理策略配置限製和指導

·     TCP代理與SSL代理對設備的轉發性能會產生較大的影響，請根據實際情況判斷是否需要開啟上述功能。

·     配置代理策略時，請盡量細化策略的過濾條件，避免代理策略的過濾條件過於寬泛，影響設備的正常轉發。

·     當設備進行TCP代理時，如果同時需要進行NAT業務的處理，則不支持ALG功能。有關NAT業務和ALG功能的詳細介紹，請參見“三層技術-IP業務配置指導”中的“NAT”。

·     如果同時需要配置SSL代理和TCP代理功能，配置代理策略規則時，請先配置動作為SSL解密的規則，避免因為先匹配到動作為TCP代理的規則導致SSL解密的規則匹配失敗。

·     配置SSL代理功能時，需要在安全策略中允許源安全域和Local域互通。有關安全策略的詳細介紹，請參見“安全配置指導”中的“安全策略”。

·     開啟SSL代理或TCP代理後，IPS和WAF業務的捕獲動作將失效。有關捕獲動作的詳細介紹，請參見“DPI深度安全配置指導”中的“IPS”和“WAF”。

·     配置SSL代理功能時，請務必根據不同的使用場景正確配置SSL解密功能的防護類型，並配置相應類型的證書與客戶端進行SSL協商。

·     在RBM雙機熱備的非對稱組網環境中（即同一條流量的報文來回路徑不一致），不支持使用TCP代理和SSL代理功能。即使配置了TCP代理或SSL代理功能，其功能也不會生效。有關RBM雙機熱備的詳細介紹，請參見“高可靠性配置指導”中的“雙機熱備（RBM）”。

1.3  代理策略配置流程圖

代理策略的基本配置思路如圖1-6所示，在配置代理策略之前需要完成的配置包括：創建安全域、配置接口並加入安全域、配置對象、配置DPI業務、配置安全策略。

圖1-6 代理策略配置流程圖