Zyxel USG FLEX H Series [Firewall] - Sådan blokerer du HTTPS-websteder ved hjælp af indholdsfiltrering og SSL-inspektion

Oprettet - Opdateret
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørgsmål? Indsend en anmodning

Vigtig meddelelse:
Kære kunde, vær opmærksom på, at vi bruger maskinoversættelse til at levere artikler på dit lokale sprog. Det er ikke sikkert, at al tekst er oversat korrekt. Hvis der er spørgsmål eller uoverensstemmelser med hensyn til nøjagtigheden af oplysningerne i den oversatte version, bedes du læse den originale artikel her:Original version

Denne vejledning viser, hvordan man effektivt kan blokere HTTPS-websteder ved hjælp af Zyxel USG FLEX H-serien ved at udnytte regler for indholdsfiltrering, SSL-inspektion og sikkerhedspolitik. Tilgangen er rettet mod ondsindet eller ikke-virksomhedsrelateret indhold (f.eks. streamingmedier, sociale medier osv.).

Bemærk: Denne artikel bruger alle netværks-IP-adresser og subnetmasker som eksempler. Udskift dem venligst med dine faktiske netværks-IP-adresser og subnetmasker. Dette eksempel blev testet med USG FLEX 500H (Firmwareversion: uOS 1.32).

Opsætning af indholdsfiltrering

Opret en ny profil, aktiver loggen for blokeringshandlinger, og vælg kategorier, der skal blokeres (f.eks. "Streaming Media").

  • Naviger til: Sikkerhedstjeneste > Indholdsfiltrering
  • Klik på Tilføj for at oprette en indholdsfiltreringsprofil i Profilstyring.
  • Skriv profilnavn, og aktiver log for blokeringshandlinger i Generelle indstillinger.
  • Marker kategorien Streaming Media i Administrerede kategorier, og klik på Anvend.

Når du har oprettet profilen, skal den knyttes til den relevante sikkerhedspolitik. Uden dette trin vil profilen ikke blive aktiveret eller påvirke systemets sikkerhed. Men det gør vi senere, når vi har konfigureret profilen til SSL-inspektøren. Klik på "Ok", og gå videre til næste punkt.

Opsæt SSL-inspektion

Gå til Sikkerhedstjeneste > SSL-inspektion > profil > Profilstyring, og klik på Tilføj for at oprette en profil.

  • Brug et brugerdefineret CA-certifikat - selvom vi bruger standardcertifikatet i vores eksempel, anbefales det at bruge det (helst signeret internt eller af en betroet intern CA). Undgå at bruge standardcertifikatet i produktionen.
  • Indstil den mindste TLS-version til TLS 1.2, medmindre ældre systemer kræver ældre versioner.
  • Aktivér logning - log altid inspiceret trafik og undtagelser for synlighed og fejlfinding.

Ikke-understøttet jakkesæt

  • Skift Action til Block, hvis det er muligt, for at forhindre usikker eller forældet brug af cipher.
  • Aktivér logning for at overvåge, hvad der bliver omgået, og foretag informerede justeringer senere.

Ikke-betroede certifikatkæder

  • Skift handling til Bloker - Hvis du tillader certifikater, der ikke er tillid til, kan du slippe ondsindet trafik igennem.
  • Aktivérlogning for at få fuld indsigt i forsøg på forbindelser, der ikke er tillid til.

Andre vigtige tips

  • Distribuer CA-certifikatet til alle klientenheder, og installer det under "Trusted Root Certification Authorities" for at undgå SSL-advarsler.
  • Ekskluder følsomme apps (f.eks. banker, offentlige tjenester osv.) ved hjælp af "Do Not Inspect List", da SSL-inspektion kan ødelægge deres funktionalitet eller overtræde compliance.
  • Overvåg jævnligt SSL-logfiler og -statistikker under Sikkerhedsstatistik > SSL-inspektion.
  • Hold firmwaren opdateret for at drage fordel af ydelses- og sikkerhedsforbedringer relateret til SSL-inspektion.
  • Undgå at inspicere intern trafik (f.eks. LAN-til-LAN), medmindre det er specifikt nødvendigt.

Opsætning af sikkerhedspolitikken

Når profilen er oprettet, skal den knyttes til den relevante sikkerhedspolitik. Uden dette trin vil profilen ikke blive aktiveret og vil ikke have nogen indflydelse på systemets sikkerhed.

  • Gå til Sikkerhedspolitik > Politikkontrol. Rediger LAN_Outgoing, og rul ned til profilafsnittet.
  • Vælg Indholdsfiltrering og SSL-inspektion. Klik på Anvend for at gemme.

Eksportér og installer certifikat

Når SSL-inspektion er aktiveret på Zyxel USG FLEX H-serien, og et websted ikke genkender eller stoler på enhedens standardcertifikat, vil webbrowsere vise en sikkerhedsadvarsel, der indikerer certifikatproblemer.

For at forhindre dette skal du eksportere standard certifikatet fra FLEX-enheden og installere det på klientmaskiner (f.eks. Windows OS) som et pålideligt rodcertifikat.

Gå til System > Certifikat > Mine certifikater for at eksportere standardcertifikatet fra USG FLEX H.

Installation af certifikatet

Når du har downloadet certifikatfilen (f.eks. default.crt), skal du dobbeltklikke på den.

  • Klik på "Åbn" i certifikatvinduet.
  • I certifikatvinduet skal du klikke på "Installer certifikat...".
  • Vælg i guiden til certifikatimport:

I guiden til certifikatimport skal du vælge:

  • "Current User" - hvis du kun installerer certifikatet til din brugerkonto (der kræves i de fleste tilfælde ingen administratorrettigheder).
  • "Lokal maskine" - hvis certifikatet skal gælde for alle brugere på computeren (kræver administratorrettigheder).

Vælg "Placer alle certifikater i følgende lager" på det næste skærmbillede.

Klik på "Browse", og vælg derefter "Trusted Root Certification Authorities".

Gennemfør guiden, og bekræft installationen.

Bemærk: Når certifikatet er installeret, vil browsere stole på FLEX-enheden under SSL-inspektion, og der vil ikke længere blive vist sikkerhedsadvarsler for HTTPS-trafik.

Test resultatet

Brug en webbrowser til at få adgang til YouTube. Gatewayen vil omdirigere dig til en blokeret side.

Gå til Log & Report > Log/Events og vælg Content Filtering for at tjekke logfilerne.

Artikler i denne sektion

Se mere
Var denne artikel en hjælp?
0 ud af 0 fandt dette nyttigt
Del