Zyxel USG FLEX H-serie [Firewall] - HTTPS-websites blokkeren met inhoudfiltering en SSL-inspectie

Gemaakt - Bijgewerkt
Serhii Boiarynov
Print Friendly and PDF
Hebt u meer vragen? Een aanvraag indienen

Belangrijke mededeling:
Geachte klant, houd er rekening mee dat we gebruik maken van automatische vertaling om artikelen in uw lokale taal aan te bieden. Het is mogelijk dat niet alle tekst nauwkeurig wordt vertaald. Als er vragen of discrepanties zijn over de juistheid van de informatie in de vertaalde versie, bekijk dan het originele artikel hier:Originele versie

Deze handleiding laat zien hoe u HTTPS-websites effectief kunt blokkeren met de Zyxel USG FLEX H-serie door gebruik te maken van Content Filtering, SSL-inspectie en regels voor beveiligingsbeleid. De aanpak is gericht op schadelijke of niet-bedrijfsgerelateerde inhoud (bijv. streaming media, sociale media, enz.).

Opmerking: In dit artikel worden alle netwerk IP-adressen en subnetmaskers als voorbeeld gebruikt. Vervang deze door uw werkelijke netwerk IP-adressen en subnetmaskers. Dit voorbeeld is getest met USG FLEX 500H (Firmwareversie: uOS 1.32).

Inhoudfiltering instellen

Maak een nieuw profiel aan, schakel logboek in voor blokkeeracties en kies categorieën om te blokkeren (bijv. "Streaming Media").

  • Navigeer naar: Beveiligingsdienst > Inhoud filteren
  • Klik op Toevoegen om een inhoudfilterprofiel aan te maken in Profielbeheer.
  • Typ de profielnaam en schakel logboek in voor blokkeeractie in Algemene instellingen.
  • Vink de categorie Streaming Media aan in Beheerde categorieën en klik op Toepassen.

Nadat u het profiel hebt gemaakt, moet het worden gekoppeld aan het juiste beveiligingsbeleid. Zonder deze stap wordt het profiel niet geactiveerd en heeft het geen invloed op de beveiliging van het systeem. Maar dat doen we later nadat we het profiel voor de SSL-inspecteur hebben ingesteld. Klik op "Ok" en ga verder naar het volgende item.

SSL-inspectie instellen

Ga naar Beveiligingsdienst > SSL-inspectie > profiel > Profielbeheer en klik op Toevoegen om een profiel aan te maken

  • Gebruik een aangepast CA-certificaat - hoewel we in ons voorbeeld het standaardcertificaat gebruiken, wordt het aanbevolen om dit te gebruiken (bij voorkeur intern ondertekend of door een vertrouwde interne CA). Vermijd het gebruik van het standaard certificaat in productie.
  • Stel de minimale TLS-versie in op TLS 1.2, tenzij oudere systemen oudere versies vereisen.
  • Logging inschakelen - log altijd geïnspecteerd verkeer en uitzonderingen voor zichtbaarheid en probleemoplossing.

Niet-ondersteunde Suit

  • Сhange Action to Block, indien mogelijk, om onveilig of verouderd codeergebruik te voorkomen.
  • Schakel logboekregistratie in om te controleren wat er wordt omzeild en later goed geïnformeerde aanpassingen te maken.

Niet-vertrouwde certificaatketens

  • Wijzig actie in blokkeren - Het toestaan van niet-vertrouwde certificaten kan kwaadwillig verkeer doorlaten.
  • Schakel logboekregistratie in om volledig inzicht te krijgen in pogingen tot niet-vertrouwde verbindingen.

Andere belangrijke tips

  • Distribueer het CA-certificaat naar alle clientapparaten en installeer het onder "Trusted Root Certification Authorities" om SSL-waarschuwingen te vermijden.
  • Sluit gevoelige toepassingen uit (bijv. bankieren, overheidsdiensten, enz.) met behulp van de "Do Not Inspect List", aangezien SSL-inspectie hun functionaliteit kan verbreken of compliance kan schenden.
  • Controleer regelmatig SSL logs en statistieken onder Beveiligingsstatistieken > SSL inspectie
  • Houd firmware bijgewerkt om te profiteren van prestatie- en beveiligingsverbeteringen met betrekking tot SSL-inspectie.
  • Vermijd het inspecteren van intern verkeer (bijv. LAN-to-LAN), tenzij dit specifiek nodig is.

Het beveiligingsbeleid instellen

Na het aanmaken van het profiel moet het gekoppeld worden aan het juiste beveiligingsbeleid. Zonder deze stap wordt het profiel niet geactiveerd en heeft het geen invloed op de beveiliging van het systeem.

  • Ga naar Beveiligingsbeleid > Beleidsbeheer. Bewerk LAN_Uitgaand en scroll naar beneden naar de profielsectie.
  • Selecteer Inhoud filteren en SSL-inspectie. Klik op Toepassen om op te slaan.

Certificaat exporteren en installeren

Wanneer SSL-inspectie is ingeschakeld op de Zyxel USG FLEX H-serie en een website het standaardcertificaat van het apparaat niet herkent of vertrouwt, geven webbrowsers een beveiligingswaarschuwing die wijst op problemen met het certificaat.

Om dit te voorkomen, moet u het standaardcertificaat exporteren van het FLEX-apparaat en het installeren op clientmachines (bijv. Windows OS) als een vertrouwd basiscertificaat.

Ga naar Systeem > Certificaat > Mijn Certificaten om het standaardcertificaat van USG FLEX H te exporteren.

Het certificaat installeren

Nadat u het certificaatbestand (bijv. default.crt) hebt gedownload, dubbelklikt u erop.

  • Klik in het certificaatvenster op "Openen".
  • Klik in het certificaatvenster op "Certificaat installeren...".
  • Kies in de wizard Certificaat importeren:

Kies in de wizard Certificaat importeren:

  • "Current User" - als u het certificaat alleen voor uw gebruikersaccount installeert (geen beheerdersrechten nodig in de meeste gevallen).
  • "Local Machine" - als het certificaat voor alle gebruikers op de computer moet gelden (beheerdersrechten vereist).

Selecteer "Plaats alle certificaten in de volgende winkel" op het volgende scherm.

Klik op "Browse" (Bladeren) en kies "Trusted Root Certification Authorities" (Vertrouwde basiscertificeringsinstanties).

Voltooi de wizard en bevestig de installatie.

Opmerking: Zodra het certificaat is geïnstalleerd, zullen browsers het FLEX-apparaat vertrouwen tijdens SSL-inspectie en zullen er geen beveiligingswaarschuwingen meer verschijnen voor HTTPS-verkeer.

Test het resultaat

Gebruik een webbrowser om YouTube te openen. De gateway zal u omleiden naar een geblokkeerde pagina.

Ga naar Log & Report > Log/Events en selecteer Content Filtering om de logs te controleren.

Artikelen in deze sectie

Zie meer
Was dit artikel nuttig?
Aantal gebruikers dat dit nuttig vond: 0 van 0
Delen