Zyxel USG FLEX H Series [Защитна стена] - Как да блокирате HTTPS уебсайтове чрез филтриране на съдържанието и SSL инспекция

Създаден - Обновено
Serhii Boiarynov
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Това ръководство демонстрира как ефективно да блокирате HTTPS уебсайтове с помощта на Zyxel USG FLEX H Series, като използвате правилата за филтриране на съдържание, SSL инспекция и политики за сигурност. Подходът е насочен към злонамерено или несвързано с бизнеса съдържание (напр. стрийминг медии, социални медии и др.).

Забележка: В тази статия като примери са използвани всички мрежови IP адреси и маски на подмрежи. Моля, заменете ги с вашите действителни мрежови IP адреси и маски на подмрежата. Този пример е тестван с USG FLEX 500H (версия на фърмуера: uOS 1.32).

Настройка на филтриране на съдържанието

Създайте нов профил, разрешете воденето на дневник за действията по блокиране и изберете категории за блокиране (напр. "Streaming Media").

  • Навигирайте до: Услуга за сигурност > Филтриране на съдържание
  • Щракнете върху Add (Добавяне), за да създадете профил за филтриране на съдържание в Profile Management (Управление на профили).
  • Въведете името на профила и разрешете воденето на дневник за блокиращи действия в Общите настройки.
  • Поставете отметка на категорията Streaming Media в Managed Categories (Управлявани категории) и щракнете върху Apply (Приложи).

След като създадете профила, той трябва да бъде свързан със съответната политика за сигурност. Без тази стъпка профилът няма да бъде активиран и няма да повлияе на сигурността на системата. Но това ще направим по-късно, след като настроим профила за SSL инспектора. Щракнете върху "ОК" и преминете към следващия елемент.

Настройка на SSL инспекцията

Отидете на Security Service (Услуга за сигурност) > SSL inspection (SSL инспекция) > profile (Профил) > Profile Management (Управление на профили) и щракнете върху Add (Добавяне), за да създадете профил

  • Използвайте потребителски CA сертификат - въпреки че в нашия пример използваме сертификата по подразбиране, препоръчително е да се използва (за предпочитане подписан вътрешно или от доверен вътрешен CA). Избягвайте да използвате сертификата по подразбиране в производството.
  • Задайте минималната версия на TLS на TLS 1.2, освен ако наследените системи не изискват по-стари версии.
  • Активирайте регистрирането - винаги регистрирайте проверявания трафик и изключенията за видимост и отстраняване на неизправности.

Неподдържан костюм

  • Променете действието на Block (Блокиране), ако е възможно, за да предотвратите използването на опасни или остарели шифри.
  • Активирайте регистрирането, за да наблюдавате какво се заобикаля и да правите информирани корекции по-късно.

Ненадеждни вериги от сертификати

  • Променете действието на Block (Блокиране) - Разрешаването на ненадеждни сертификати може да позволи преминаването на злонамерен трафик.
  • Разрешете воденето на дневник за пълна видимост на опитите за ненадеждни връзки.

Други важни съвети

  • Разпространете сертификата на CA на всички клиентски устройства и го инсталирайте в "Trusted Root Certification Authorities" (Доверени коренови удостоверителни органи), за да избегнете предупрежденията за SSL.
  • Изключете чувствителни приложения (напр. банкови, правителствени служби и др.), като използвате "Списък за недопускане на проверка", тъй като проверката на SSL може да наруши тяхната функционалност или да наруши съответствието.
  • Редовно наблюдавайте SSL дневниците и статистиките в менюто Статистика на сигурността > SSL инспекция
  • Поддържайте фърмуера актуализиран, за да се възползвате от подобренията в производителността и сигурността, свързани с проверката на SSL.
  • Избягвайте да инспектирате вътрешен трафик (напр. LAN-to-LAN), освен ако не е изрично необходимо.

Настройване на политиката за сигурност

След като създадете профила, той трябва да бъде свързан със съответната политика за сигурност. Без тази стъпка профилът няма да бъде активиран и няма да окаже влияние върху сигурността на системата.

  • Отидете в Политика за сигурност > Контрол на политиката. Редактирайте LAN_Outgoing и превъртете надолу до раздела за профил.
  • Изберете Content Filtering (Филтриране на съдържанието) и SSL Inspection (Проверка на SSL). Щракнете върху Apply (Приложи), за да запазите.

Експортиране и инсталиране на сертификат

Когато SSL Inspection е активирана на Zyxel USG FLEX H Series и даден уебсайт не разпознава или не се доверява на сертификата по подразбиране на устройството, уеб браузърите ще покажат предупреждение за сигурност, указващо проблеми със сертификата.

За да предотвратите това, трябва да експортирате сертификата по подразбиране от устройството FLEX и да го инсталирате на клиентските машини (напр. операционна система Windows) като доверен коренов сертификат.

Отидете в System (Система) > Certificate (Сертификат) > My Certificates (Моите сертификати), за да експортирате сертификата по подразбиране от USG FLEX H.

Инсталиране на сертификата

След като изтеглите файла със сертификата (напр. default.crt), щракнете два пъти върху него.

  • В прозореца на сертификата щракнете върху "Open" (Отвори).
  • В прозореца на сертификата щракнете върху "Инсталиране на сертификат...".
  • В съветника за импортиране на сертификат изберете:

В съветника за импортиране на сертификати изберете:

  • "Current User" - ако инсталирате сертификата само за вашия потребителски акаунт (в повечето случаи не се изискват администраторски права).
  • "Local Machine" (Локална машина) - ако сертификатът трябва да се прилага за всички потребители на компютъра (изискват се администраторски права).

На следващия екран изберете "Place all certificates in the following store" (Поставете всички сертификати в следното хранилище).

Щракнете върху "Browse" (Преглед), след което изберете "Trusted Root Certification Authorities" (Доверени коренови удостоверителни органи).

Завършете съветника и потвърдете инсталацията.

Забележка: След като сертификатът е инсталиран, браузърите ще се доверят на устройството FLEX при проверка на SSL и предупрежденията за сигурност вече няма да се появяват за HTTPS трафика.

Тестване на резултата

Използвайте уеб браузър за достъп до YouTube. Шлюзът ще ви пренасочи към блокирана страница.

Отидете в Log & Report (Дневник и отчет) > Log/Events (Дневник/събития) и изберете Content Filtering (Филтриране на съдържание), за да проверите дневниците.

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне