Zyxel USG FLEX H sorozat [Tűzfal] - HTTPS webhelyek blokkolása tartalomszűrés és SSL-ellenőrzés segítségével

Ez az útmutató bemutatja, hogyan lehet hatékonyan blokkolni a HTTPS webhelyeket a Zyxel USG FLEX H sorozat segítségével a tartalomszűrés, az SSL-ellenőrzés és a biztonsági házirend szabályainak kihasználásával. A megközelítés a rosszindulatú vagy nem üzleti jellegű tartalmakat (pl. streaming média, közösségi média stb.) célozza meg.

Megjegyzés: Ez a cikk az összes hálózati IP-címet és alhálózati maszkot használja példaként. Kérjük, helyettesítse őket a tényleges hálózati IP-címekkel és alhálózati maszkokkal. Ezt a példát USG FLEX 500H (Firmware verzió: uOS 1.32) használatával teszteltük.

Tartalomszűrés beállítása

Hozzon létre egy új profilt, engedélyezze a blokkolási műveletek naplózását, és válassza ki a blokkolandó kategóriákat (pl. "Streaming Media").

• Navigáljon a következő címre: Biztonsági szolgáltatás > Tartalomszűrés
• Kattintson a Hozzáadás gombra egy tartalomszűrési profil létrehozásához a Profilkezelésben.
• Írja be a profil nevét, és engedélyezze a naplózást a blokkolási műveletekhez az Általános beállítások menüpontban.
• Jelölje be a Streaming Media kategóriát a Kezelt kategóriák között, majd kattintson az Alkalmazás gombra.

A profil létrehozása után azt a megfelelő biztonsági házirendhez kell kapcsolni. E lépés nélkül a profil nem aktiválódik, és nem befolyásolja a rendszer biztonságát. De ezt később, az SSL-ellenőr profiljának beállítása után fogjuk megtenni. Kattintson az "Ok" gombra, és lépjen tovább a következő pontra.

SSL-ellenőrzés beállítása

Válassza a Biztonsági szolgáltatás > SSL-ellenőrzés > profil > Profilkezelés menüpontot, és kattintson a Hozzáadás gombra a profil létrehozásához.

• Használjon egyéni hitelesítésszolgáltatói tanúsítványt - bár példánkban az alapértelmezett tanúsítványt használjuk, ajánlott a használata (lehetőleg belső aláírással vagy megbízható belső hitelesítésszolgáltatóval). Kerülje az alapértelmezett tanúsítvány használatát a termelésben.
• Állítsa a TLS minimális verzióját TLS 1.2-re, kivéve, ha az örökölt rendszerek régebbi verziókat igényelnek.
• Engedélyezze a naplózást - mindig naplózza a vizsgált forgalmat és a kivételeket a láthatóság és a hibaelhárítás érdekében.

Nem támogatott öltözék

• Сhange Action to Block, ha lehetséges, hogy megakadályozza a nem biztonságos vagy elavult titkosítások használatát.
• Engedélyezze a naplózást, hogy nyomon követhesse, hogy mit kerül meg, és később megalapozott kiigazításokat végezzen.

Nem megbízható tanúsítványláncok

• Módosítsa a MűveletetBlokkolásra - A nem megbízható tanúsítványok engedélyezése rosszindulatú forgalmat engedhet át.
• Engedélyezze a naplózást a nem megbízható kapcsolatok megkísérlésének teljes átláthatóságáért.

Egyéb fontos tippek

• Az SSL figyelmeztetések elkerülése érdekébenterjessze a hitelesítésszolgáltatói tanúsítványt az összes ügyféleszközre, és telepítse a "Megbízható gyökértanúsító hatóságok" alatt.
• Az érzékeny alkalmazások (pl. banki, kormányzati szolgáltatások stb.)kizárása a "Do Not Inspect List" (Ne ellenőrizze a listát) használatával, mivel az SSL-ellenőrzés megszakíthatja a működésüket vagy sértheti a megfelelőséget.
• Rendszeresen figyelje az SSL-naplókat és statisztikákat a Biztonsági statisztikák > SSL-ellenőrzésmenüpont alatt.
• Tartsa frissítve a firmware-t, hogy kihasználhassa az SSL-ellenőrzéssel kapcsolatos teljesítmény- és biztonsági fejlesztések előnyeit.
• Kerülje a belső forgalom (pl. LAN-LAN)ellenőrzését, kivéve, ha kifejezetten szükséges.

A biztonsági házirend beállítása

A profil létrehozása után azt a megfelelő biztonsági házirendhez kell kapcsolni. E lépés nélkül a profil nem aktiválódik, és nincs hatása a rendszer biztonságára.

• Válassza a Biztonsági házirend > Házirend vezérlés menüpontot. Szerkessze a LAN_Kimenő, és görgessen le a profil szakaszig.
• Válassza ki a Tartalomszűrés és az SSL-ellenőrzés lehetőséget. Kattintson az Alkalmazás gombra a mentéshez.

Tanúsítvány exportálása és telepítése

Ha a Zyxel USG FLEX H sorozaton engedélyezve van az SSL-ellenőrzés, és egy weboldal nem ismeri fel az eszköz alapértelmezett tanúsítványát, vagy nem bízik benne, a webböngészők biztonsági figyelmeztetést jelenítenek meg, amely tanúsítványproblémákra utal.

Ennek megelőzése érdekében exportálni kell az alapértelmezett tanúsítványt a FLEX eszközről, és telepíteni kell az ügyfélgépekre (pl. Windows operációs rendszer) megbízható gyökértanúsítványként.

Az USG FLEX H készülékről az alapértelmezett tanúsítvány exportálásához lépjen a Rendszer > Tanúsítvány > Saját tanúsítványok menüpontra.

A tanúsítvány telepítése

A tanúsítványfájl (pl. default.crt) letöltése után kattintson rá duplán.

• A tanúsítvány ablakban kattintson a "Megnyitás" gombra.
• A tanúsítvány ablakban kattintson a "Tanúsítvány telepítése..." gombra.

• A Tanúsítvány importálás varázslóban válassza a következőt:

A Tanúsítvány importálás varázslóban válassza a következőt:

• "Current User" - ha a tanúsítványt csak a felhasználói fiókjához telepíti (a legtöbb esetben nincs szükség adminisztrátori jogokra).
• "Helyi gép" - ha a tanúsítványt a számítógép összes felhasználójára alkalmazni kell (rendszergazdai jogok szükségesek).

A következő képernyőn válassza a "Place all certificates in the following store" (Minden tanúsítványt a következő tárolóba helyez) lehetőséget.

Kattintson a "Tallózás" gombra, majd válassza ki a "Megbízható gyökér-tanúsító hatóságok" lehetőséget.

Fejezze be a varázslót, és erősítse meg a telepítést.

Megjegyzés: A tanúsítvány telepítése után a böngészők megbíznak a FLEX eszközben az SSL-ellenőrzés során, és a HTTPS-forgalomnál többé nem jelennek meg biztonsági figyelmeztetések.

Az eredmény tesztelése

Használjon webböngészőt a YouTube eléréséhez. Az átjáró egy letiltott oldalra irányítja át.

A naplók ellenőrzéséhez lépjen a Napló és jelentés > Napló/események menüpontra, és válassza a Tartalomszűrés lehetőséget.