Zyxel USG FLEX H Series [Palomuuri] - HTTPS-sivustojen estäminen sisällönsuodatuksen ja SSL-tarkastuksen avulla

Luotu - Päivitetty
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Lisäkysymyksiä? Lähetä pyyntö

Tärkeä huomautus:
Hyvät asiakkaat, huomioikaa, että käytämme konekäännöstä tarjotaksemme artikkeleita paikallisella kielelläsi. Kaikkea tekstiä ei välttämättä voida kääntää tarkasti. Jos käännetyssä versiossa on kysymyksiä tai ristiriitaisuuksia tietojen oikeellisuudesta, tutustu alkuperäiseen artikkeliin täällä: Alkuperäinen versio.

Tässä oppaassa esitellään, miten HTTPS-sivustot voidaan estää tehokkaasti Zyxel USG FLEX H -sarjan avulla hyödyntämällä sisällönsuodatusta, SSL-tarkastusta ja tietoturvakäytäntöjen sääntöjä. Lähestymistapa kohdistuu haitalliseen tai muuhun kuin liiketoimintaan liittyvään sisältöön (esim. suoratoistomedia, sosiaalinen media jne.).

Huomautus: Tässä artikkelissa käytetään esimerkkeinä kaikkia verkon IP-osoitteita ja aliverkon maskeja. Korvaa ne todellisilla verkon IP-osoitteilla ja aliverkon maskeilla. Tämä esimerkki testattiin USG FLEX 500H:lla (laiteohjelmiston versio: uOS 1.32).

Sisällönsuodatuksen määrittäminen

Luo uusi profiili, ota estotoimien loki käyttöön ja valitse estettävät luokat (esim. "Streaming Media").

  • Siirry osoitteeseen: Turvapalvelu > Sisällönsuodatus
  • Luo sisällönsuodatusprofiili profiilinhallinnassa valitsemalla Lisää.
  • Kirjoita profiilin nimi ja ota estotoimien loki käyttöön kohdassa Yleiset asetukset.
  • Rastita Streaming Media -luokka Hallitut luokat -kohdassa ja napsauta Käytä.

Kun profiili on luotu, se on linkitettävä asianmukaiseen turvallisuuskäytäntöön. Ilman tätä vaihetta profiilia ei aktivoida eikä se vaikuta järjestelmän turvallisuuteen. Teemme sen kuitenkin myöhemmin, kun olemme luoneet profiilin SSL-tarkastajalle. Napsauta "Ok" ja siirry seuraavaan kohtaan.

SSL-tarkastuksen määrittäminen

Siirry kohtaan Turvapalvelu > SSL-tarkastus > profiili > Profiilin hallinta ja luo profiili valitsemalla Lisää.

  • Käytä mukautettua CA-varmentajaa - vaikka käytämme esimerkissämme oletusvarmentajaa, sen käyttö on suositeltavaa (mieluiten sisäisesti allekirjoitettuna tai luotettavan sisäisen CA:n allekirjoittamana). Vältä oletusvarmenteen käyttöä tuotannossa.
  • Aseta TLS:n vähimmäisversioksi TLS 1.2, elleivät vanhat järjestelmät vaadi vanhempia versioita.
  • Ota lokitus käyttöön - kirjaa aina tarkastettu liikenne ja poikkeukset näkyvyyttä ja vianmääritystä varten.

Tukematon asu

  • Сhange Action to Block, jos mahdollista, estääksesi vaarallisen tai vanhentuneen salakirjoituksen käytön.
  • Ota lokitus käyttöön, jotta voit seurata, mitä ohitetaan, ja tehdä tietoon perustuvia muutoksia myöhemmin.

Epäluotettavat varmenneketjut

  • Vaihda Action to Block - Epäluotettavien varmenteiden salliminen voi päästää haitallisen liikenteen läpi.
  • Ota lokitus käyttöön, jotta saat täyden näkyvyyden epäluotettaviin yhteysyrityksiin.

Muita tärkeitä vinkkejä

  • Jaa varmentajan varmenne kaikkiin asiakaslaitteisiin ja asenna se kohtaan "Luotetut juurivarmentajat ", jotta vältät SSL-varoitukset.
  • Sulje arkaluonteiset sovellukset (esim. pankki- ja viranomaispalvelut)pois "Älä tarkista -luettelon" avulla, sillä SSL-tarkastus voi rikkoa niiden toiminnallisuuden tai rikkoa vaatimustenmukaisuutta.
  • Seuraa säännöllisesti SSL-lokeja ja -tilastoja kohdassa Security Statistics > SSL Inspection.
  • Pidä laiteohjelmisto ajan tasalla, jotta voit hyödyntää SSL-tarkastukseen liittyviä suorituskyky- ja turvallisuusparannuksia.
  • Vältä sisäisen liikenteen tarkastamista (esim. LAN-to-LAN), ellei se ole erityisen tarpeellista.

Turvallisuuskäytännön määrittäminen

Kun profiili on luotu, se on yhdistettävä asianmukaiseen turvallisuuskäytäntöön. Ilman tätä vaihetta profiilia ei aktivoida, eikä sillä ole vaikutusta järjestelmän turvallisuuteen.

  • Siirry kohtaan Security Policy > Policy control. Muokkaa LAN_Outgoing (LAN_lähtevä) ja selaa profiiliosioon.
  • Valitse Sisällönsuodatus ja SSL-tarkastus. Tallenna napsauttamalla Apply (Käytä).

Varmenteen vieminen ja asentaminen

Kun SSL-tarkastus on käytössä Zyxel USG FLEX H -sarjassa ja verkkosivusto ei tunnista laitteen oletusvarmentetta tai luota siihen, verkkoselaimet näyttävät varmenteen ongelmista kertovan turvallisuusvaroituksen.

Tämän estämiseksi sinun on vietävä oletusvarmenne FLEX-laitteesta ja asennettava se asiakaskoneisiin (esim. Windows-käyttöjärjestelmään ) luotettavana juurivarmenteena.

Mene kohtaan Järjestelmä > Varmenne > Omat varmenteet viedäksesi oletusvarmenteen USG FLEX H -laitteesta.

Varmenteen asentaminen

Kun olet ladannut varmentetiedoston (esim. default.crt), kaksoisnapsauta sitä.

  • Napsauta varmenneikkunassa "Avaa".
  • Napsauta varmenneikkunassa "Asenna varmenne...".
  • Valitse ohjatussa varmenteen tuontiohjelmassa:

Valitse ohjatussa varmenteen tuontiohjelmassa:

  • "Current User" - jos asennat varmenteen vain käyttäjätilillesi (useimmissa tapauksissa ei tarvita ylläpitäjän oikeuksia).
  • "Local Machine" (Paikallinen kone) - jos varmenteen on tarkoitus koskea kaikkia tietokoneen käyttäjiä (järjestelmänvalvojan oikeuksia tarvitaan).

Valitse seuraavassa näytössä "Aseta kaikki varmenteet seuraavaan varastoon".

Napsauta "Selaa" ja valitse sitten "Luotettavat juurivarmentajat".

Suorita ohjattu asennus loppuun ja vahvista asennus.

Huomautus: Kun varmenne on asennettu, selaimet luottavat FLEX-laitteeseen SSL-tarkastuksen aikana, eikä HTTPS-liikenteessä enää näy turvallisuusvaroituksia.

Testaa tulos

Käytä verkkoselainta YouTuben käyttämiseen. Yhdyskäytävä ohjaa sinut estetylle sivulle.

Tarkista lokit valitsemalla Log & Report > Log/Events ja valitse Content Filtering.

Tämän osion artikkelit

Oliko tämä artikkeli hyödyllinen?
0/1 koki tästä olevan apua
Jaa

Kommentit

0 kommenttia

Kirjaudu sisään jättääksesi kommentin.