本示例介绍如何解密HTTPS流量并识别加密的应用,满足用户对应用细粒度管控的需求。
如下图所示,内网用户访问HTTPS,流量被加密。通过使用SSL代理和应用识别功能,设备解密HTTPS流量,并识别加密的应用。
步骤一:配置SSL代理Profile。
选择“策略 > SSL代理”,点击“新建”。
在<基本配置>标签页,做如下配置:
- 名称:profile1
- 过期证书:解密
- 不支持的版本:阻断
- 不支持的加密算法:阻断
- 客户端认证:阻断
- 警告提示:启用
步骤二:在安全策略中引用SSL代理Profile。
配置允许内网用户访问Internet的安全策略,并在策略的“高级配置”中引用SSL代理Profile。
- SSL代理:勾选“启用”复选框,并在下拉菜单中选择“profile1”。
步骤三:导入设备证书到客户端Web浏览器
从设备中导出证书。
点击“系统 > PKI ”。在<管理>标签页:
- 信任域: trust_domain_ssl_proxy
- 内容:CA证书
- 行为:导出
点击“确定”,导出证书。
导入证书到客户端Web浏览器。
- 在Chrome浏览器中,点击“设置 > 显示高级设置”。
- 在HTTPS/SSL部分,点击“管理证书。”
- 在“受信任的根证书颁发机构”标签页,点击“导入”。
- 按照向导提示将导出证书导入到浏览器。
步骤四:升级专业版应用特征库并开启应用识别。
在CLI中执行升级命令,将应用特征库升级到专业版。
选择“网络 > 安全域”,选中“untrust”并点击“编辑”,选中<基本配置>标签页。
- 应用识别:勾选“启用”复选框。
步骤五:查看应用监控。
点击“监控 > 应用监控 > 应用详情”。
当内网用户访问HTTPS网站时,SSL代理功能对HTTPS流量进行解密,应用识别功能根据解密的HTTPS流量,细粒度地识别流量对应的应用。
胜象大百科
