Zyxel USG FLEX řady H [Firewall] - Jak blokovat webové stránky HTTPS pomocí filtrování obsahu a kontroly SSL

Vytvořeno - Aktualizováno
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte originální článek zde: Originální verze

Tato příručka ukazuje, jak účinně blokovat webové stránky HTTPS pomocí zařízení Zyxel USG FLEX řady H s využitím filtrování obsahu, kontroly SSL a pravidel zásad zabezpečení. Tento přístup se zaměřuje na škodlivý nebo s podnikáním nesouvisející obsah (např. streamovaná média, sociální sítě atd.).

Poznámka: V tomto článku jsou jako příklady použity všechny síťové IP adresy a masky podsítí. Nahraďte je prosím skutečnými síťovými IP adresami a maskami podsítí. Tento příklad byl testován na zařízení USG FLEX 500H (verze firmwaru: uOS 1.32).

Nastavení filtrování obsahu

Vytvořte nový profil, povolte protokolování blokovacích akcí a vyberte kategorie, které chcete blokovat (např. "Streaming Media").

  • Přejděte na stránku: Služba zabezpečení > Filtrování obsahu
  • Klepnutím na tlačítko Přidat vytvoříte profil filtrování obsahu v nabídce Správa profilů.
  • Zadejte název profilu a povolte protokol pro blokovací akce v části Obecná nastavení.
  • Zaškrtněte kategorii Streaming Media ve Spravovaných kategoriích a klikněte na tlačítko Použít.

Po vytvoření profilu je třeba jej propojit s příslušnou zásadou zabezpečení. Bez tohoto kroku nebude profil aktivován a nebude mít vliv na zabezpečení systému. To však uděláme později po nastavení profilu pro inspektor SSL. Klepněte na tlačítko "Ok" a přejděte k další položce.

Nastavení kontroly SSL

Přejděte do části Služba zabezpečení > Kontrola SSL > Profil > Správa profilu a kliknutím na tlačítko Přidat vytvořte profil.

  • Použijte vlastní certifikát certifikační autority - ačkoli v našem příkladu používáme výchozí certifikát, doporučujeme jej použít (nejlépe podepsaný interně nebo důvěryhodnou interní certifikační autoritou). Vyhněte se použití výchozího v produkčním prostředí.
  • Nastavte minimální verzi TLS na TLS 1.2, pokud starší systémy nevyžadují starší verze.
  • Povolte protokolování - vždy protokolujte kontrolovaný provoz a výjimky pro přehlednost a řešení problémů.

Nepodporovaná výbava

  • Сzměňte Action na Block, pokud je to možné, abyste zabránili používání nebezpečných nebo zastaralých šifer.
  • Povolte protokolování, abyste mohli sledovat, co se obchází, a později provést informované úpravy.

Nedůvěryhodné řetězce certifikátů

  • Změňte akci na Blokovat - povolení nedůvěryhodných certifikátů může propustit škodlivý provoz.
  • Povolte protokolování pro úplný přehled o pokusech o nedůvěryhodná připojení.

Další důležité tipy

  • Rozšiřte certifikát certifikační autority do všech klientských zařízení a nainstalujte jej pod "Trusted Root Certification Authorities", abyste se vyhnuli varováním SSL.
  • Vyloučte citlivé aplikace (např. bankovnictví, vládní služby atd.) pomocí "Seznamu neprovádět kontrolu", protože kontrola SSL může narušit jejich funkčnost nebo porušit soulad s předpisy.
  • Pravidelně sledujte protokoly a statistiky SSL v části Statistiky zabezpečení > Kontrola SSL.
  • Udržujte firmware aktualizovaný, abyste mohli využívat vylepšení výkonu a zabezpečení související s kontrolou SSL.
  • Vyhněte se kontrole interního provozu (např. LAN-to-LAN), pokud to není výslovně nutné.

Nastavení zásad zabezpečení

Po vytvoření profilu je třeba jej propojit s příslušnou zásadou zabezpečení. Bez tohoto kroku nebude profil aktivován a nebude mít žádný vliv na zabezpečení systému.

  • Přejděte do části Zásady zabezpečení > Řízení zásad. Upravte položku LAN_Outgoing a přejděte dolů do části profilu.
  • Vyberte možnost Filtrování obsahu a možnost Kontrola SSL. Kliknutím na tlačítko Použít uložte.

Export a instalace certifikátu

Pokud je v zařízení Zyxel USG FLEX řady H povolena kontrola SSL a webová stránka nerozpozná výchozí certifikát zařízení nebo mu nedůvěřuje, webové prohlížeče zobrazí bezpečnostní varování informující o problémech s certifikátem.

Abyste tomu zabránili, je třeba výchozí certifikát ze zařízení FLEX exportovat a nainstalovat jej do klientských počítačů (např. do operačního systému Windows) jako důvěryhodný kořenový certifikát.

Přejděte do nabídky Systém > Certifikát > Moje certifikáty a exportujte výchozí certifikát ze zařízení USG FLEX H.

Instalace certifikátu

Po stažení souboru certifikátu (např. default.crt) na něj dvakrát klikněte.

  • V okně certifikátu klikněte na tlačítko "Otevřít".
  • V okně certifikátu klikněte na tlačítko "Instalovat certifikát...".
  • V Průvodci importem certifikátu zvolte:

V Průvodci importem certifikátu vyberte:

  • "Aktuální uživatel" - pokud instalujete certifikát pouze pro svůj uživatelský účet (ve většině případů nejsou vyžadována práva správce).
  • "Local Machine" - pokud má certifikát platit pro všechny uživatele počítače (jsou vyžadována práva správce).

Na další obrazovce vyberte možnost "Umístit všechny certifikáty do následujícího úložiště".

Klepněte na tlačítko "Browse" (Procházet) a vyberte "Trusted Root Certification Authorities" (Důvěryhodné kořenové certifikační autority).

Dokončete průvodce a potvrďte instalaci.

Poznámka: Po instalaci certifikátu budou prohlížeče při kontrole SSL zařízení FLEX důvěřovat a u přenosů HTTPS se již nebudou zobrazovat bezpečnostní varování.

Testování výsledku

Pomocí webového prohlížeče přistupte na službu YouTube. Brána vás přesměruje na blokovanou stránku.

Přejděte do části Protokoly a hlášení > Protokoly/události a výběrem možnosti Filtrování obsahu zkontrolujte protokoly.

Články v tomto oddílu

Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 1
Sdílet

Komentáře

0 komentářů

Prosím přihlaste se, abyste mohli napsat komentář.