本文档介绍ACG1000设备解密策略配置举例,解密策略对通过设备的入接口、源IP、目的IP、HTTPS对象进行访问控制,主要是对使用SSL协议传输的流量做审计。支持HTTPS、邮箱类审计功能,并产生审计日志。
2 配置前提本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解解密策略特性。
3 使用限制· 当设备DNS设置成全局模式时,用户电脑的DNS需要指向设备的入接口,以保证DNS过设备,解密策略才能生效。若DNS不经过设备的话,解密策略不生效。
· HTTPS解密策略所需证书为CA证书。
· 部分邮箱客户端(网易邮箱大师/闪电邮)的SMTP是使用的TLS加密,TLS加密不支持解密。
· 部分HTTPS站点的客户端会进行证书校验,会显示非安全连接。
4 配置举例 4.1 组网需求如所示,某公司内网存在测试网段和办公网段,IP地址分别为192.10.1.0/24和172.16.10.0/24。使用ACG1000设备的ge2和ge3接口路由模式部署在网络中,ACG作为出口网关设备,下联二层交换机。在ACG1000上启用解密策略功能。
4.2 配置思路
· 配置需要审计的HTTPS对象;
· 生成CA证书;
· 导入本地证书;
· 启用IPV4安全策略,开启应用审计和URL审计;
· 启用解密策略;
· 引用证书。
4.3 使用版本本举例是在R6608版本上进行配置和验证的。
4.4 配置注意事项· 解密策略用的证书为CA证书,先在CA服务器生成证书,再导出证书至本地。
· DNS回应报文IP地址解析。443端口的站点(包含网页版邮箱)解密,需首先把站点域名转化为IP地址,作为流量过滤条件,只有符合条件的HTTPS流量进入解密流程。
· 代理模块需要和客户端建立SSL连接,因此需要给客户端安装证书,设备需要支持证书签发功能及导入导出功能,且可以被解密策略引用。解密策略可根据当前导入的证书选择使用哪个证书。
· 邮箱类解密分为网页版邮箱和客户端版邮箱。网页版邮箱内置需要审计的域名对用户不可见,对外通过配置说明文档体现网页版邮箱支持规格。客户端邮箱解密支持SMTP、POP3、IMAP协议。有些SMTP使用的TLS加密不支持审计。
· 如果是网桥模式组网,配置步骤是一致的,需要注意的是网桥接口下一定要配置IP地址,并且要保证桥接口IP能访问外网。
4.5 配置步骤 4.5.1 配置ACG1000系列产品 1. 登录H3C ACG Web网管如所示,使用http或HTTPS的方式登录ACG1000设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。
图2 登录Web网管
2. 配置HTTPS对象
如所示,进入“对象管理>URL>HTTPS对象”,点击<新建>。
如所示,创建成功的HTTPS对象配置如下:
图4 HTTPS对象配置成功
3. 生成CA证书
如所示,进入“对象管理>CA服务器>根CA配置管理”,点击<生成CA根证书>。
图5 生成CA根证书
如所示,在生成CA证书以后,导出证书。.
图6 导出CA证书
4. 导入本地证书
如所示,进入“对象管理>本地证书>证书”,点击<导入>,选择之前生成的CA证书。
如所示,导入成功的证书如下:
5. 启用IPV4安全策略,开启应用审计和URL审计。
如所示,进入“上网行为管理>策略配置>IPV4”,点击<新建>,配置安全策略。
图9 启用IPV4安全策略
如所示,创建成功的IPV4策略如下:
图10 IPV4策略配置成功
6. 启用解密策路,开启站点解密和邮箱解密
如所示,进入“上网行为管理>解密策略”,点击<新建>,配置安全策略。
如所示,创建成功的解密策略配置如下:
如所示,进入“上网行为管理>解密策略”,点击<证书列表>,引用生成证书。
4.6 验证配置
(1) 验证审计日志里的搜索引擎日志。
如所示,进入“日志查询>应用审计日志>搜索引擎日志”查看,发现已经审计到用户访问百度的搜索引擎内容,并正确地记录了日志。
(2) 验证审计日志里的邮箱日志。
如所示,进入“日志查询>应用审计日志>邮箱日志”,可以看到办公网段网段已经被正确记录了所有SSL邮箱日志。
(3) 验证审计日志里的网站访问日志。
如所示,进入“日志查询>网站访问日志>搜访问网站日志日志”查看,发现已经审计到用户访问百度的访问网站内容,并正确地记录了日志。
5 终端证书导入方法 5.1 PC浏览器证书导入方法 5.1.1 IE/chrome浏览器证书的导入【适用于除Firefox以外的浏览器】
(1) 下载证书【https.cer】到PC。
(2) 双击打开证书【https.cer】,选择安装证书。
(3) 选择证书存储位置【二者皆可】
(4) 选择【将所有证书放入下列存储】
(5) 点击【浏览】选择【受信任的根证书颁发机构】然后【下一步】
(6) 确认信息点击【完成】
5.1.2 Firefox浏览器证书的导入
(1) 打开Firefox浏览器,选择【选项】
(2) 选择【高级】——【证书】——【查看证书】
(3) 进入【证书机构】——选择【导入】
(4) 选择【https.cer】点击【打开】
(5) 【全部勾选三个信任提示】——【确定】
(6) 确认导入的证书点击【确定】
注:浏览器导入证书需要清除缓存以后重新打开浏览器!
5.2 移动终端证书导入方法 5.2.1 安卓证书导入(1) 将证书放置http网站。
(2) 点击下载证书
(3) 下载成功后,选择“打开”证书。
(4) 证书安装器会弹出“为证书命名”,并且凭据用途要先选择“WLAN”。
(5) 凭据用途选择“VPN和应用”再安装一次。
(6) 进入手机“安全与隐私”,选择“受信任的凭据”中“用户”查看证书是否安装成功。
(7) 如果未成功,选择在“安全与隐私”中“从SD卡安装证书”,找到证书路径,重复上述步骤安装证书。
5.2.2 苹果IOS证书导入(1) 将证书放置http网站。
(2) 点击下载证书
(3) 选择“允许”后,iphone会直接跳转到安装界面。
(4) 选择“安装”
(5) 安装后描述文件显示“已验证”。
(6) 进入“通用”—“关于本机”—“证书信任设置”
(7) 在证书勾选信任。