Zyxel USG FLEX H-serien [Brannmur] - Hvordan blokkere HTTPS-nettsteder ved hjelp av innholdsfiltrering og SSL-inspeksjon

Opprettet - Oppdatert
Serhii Boiarynov
Print Friendly and PDF
Har du flere spørsmål? Send oss en henvendelse

Viktig merknad:
Kjære kunde, vær oppmerksom på at vi bruker maskinoversettelse for å levere artikler på ditt lokale språk. Det er ikke sikkert at all tekst er oversatt nøyaktig. Hvis det er spørsmål eller uoverensstemmelser om nøyaktigheten av informasjonen i den oversatte versjonen, kan du se den opprinnelige artikkelen her:Originalversjon

Denne veiledningen viser hvordan du effektivt blokkerer HTTPS-nettsteder ved hjelp av Zyxel USG FLEX H-serien ved å utnytte innholdsfiltrering, SSL-inspeksjon og regler for sikkerhetspolicy. Tilnærmingen er rettet mot ondsinnet eller ikke-virksomhetsrelatert innhold (f.eks. strømmemedier, sosiale medier osv.).

Merk: I denne artikkelen brukes alle nettverks-IP-adresser og delnettmasker som eksempler. Erstatt dem med de faktiske IP-adressene og nettverksmaskene i nettverket ditt. Dette eksemplet ble testet med USG FLEX 500H (fastvareversjon: uOS 1.32).

Konfigurer innholdsfiltrering

Opprett en ny profil, aktiver logg for blokkeringshandlinger, og velg kategorier som skal blokkeres (f.eks. "Streaming Media").

  • Naviger til: Sikkerhetstjeneste > Innholdsfiltrering
  • Klikk på Legg til for å opprette en innholdsfiltreringsprofil i Profilbehandling.
  • Skriv inn profilnavn og aktiver logg for blokkeringshandlinger i Generelle innstillinger.
  • Merk av for Streaming Media-kategorien i Administrerte kategorier, og klikk på Bruk.

Når du har opprettet profilen, må den kobles til den aktuelle sikkerhetspolicyen. Uten dette trinnet vil profilen ikke bli aktivert eller påvirke systemets sikkerhet. Men det skal vi gjøre senere, etter at vi har konfigurert profilen for SSL-inspektøren. Klikk på "Ok" og gå videre til neste punkt.

Konfigurer SSL-inspeksjon

Gå til Sikkerhetstjeneste > SSL-inspeksjon > profil > Profiladministrasjon, og klikk på Legg til for å opprette en profil

  • Bruk et egendefinert CA-sertifikat - selv om vi bruker standardsertifikatet i vårt eksempel, anbefales det å bruke det (helst signert internt eller av en betrodd intern CA). Unngå å bruke standardsertifikatet i produksjon.
  • Sett minimum TLS-versjon tilTLS 1.2, med mindre eldre systemer krever eldre versjoner.
  • Aktiver logging - logg alltid inspisert trafikk og unntak for innsyn og feilsøking.

Ikke-støttet dress

  • Endre Action til Block, hvis mulig, for å forhindre bruk av usikre eller utdaterte krypteringskoder.
  • Aktiver logging for å overvåke hva som omgås og foreta informerte justeringer senere.

Ikke-klarerte sertifikatkjeder

  • Endre handling til Blokker - Hvis du tillater upålitelige sertifikater, kan ondsinnet trafikk slippe gjennom.
  • Aktiver logging for å få full oversikt over forsøk på ikke-klarerte tilkoblinger.

Andre viktige tips

  • Distribuer CA-sertifikatet til alle klientenheter, og installer det under "Trusted Root Certification Authorities" for å unngå SSL-advarsler.
  • Ekskluder sensitive apper (f.eks. banktjenester, offentlige tjenester osv.) ved hjelp av "Ikke inspiser-listen", ettersom SSL-inspeksjon kan ødelegge funksjonaliteten deres eller bryte med samsvar.
  • Overvåk SSL-logger og -statistikkregelmessig under Sikkerhetsstatistikk > SSL-inspeksjon
  • Hold fastvaren oppdatert for å dra nytte av ytelses- og sikkerhetsforbedringer knyttet til SSL-inspeksjon.
  • Unngå å inspisere intern trafikk (f.eks. LAN-til-LAN), med mindre det er spesielt nødvendig.

Konfigurer sikkerhetspolicyen

Etter at profilen er opprettet, må den kobles til den aktuelle sikkerhetspolicyen. Uten dette trinnet vil profilen ikke bli aktivert og vil ikke ha noen innvirkning på systemets sikkerhet.

  • Gå til Sikkerhetspolicy > Policykontroll. Rediger LAN_Outgoing, og bla ned til profildelen.
  • Velg Innholdsfiltrering og SSL-inspeksjon. Klikk på Bruk for å lagre.

Eksportere og installere sertifikat

Når SSL-inspeksjon er aktivert på Zyxel USG FLEX H-serien, og et nettsted ikke gjenkjenner eller stoler på enhetens standardsertifikat, vil nettlesere vise en sikkerhetsadvarsel som indikerer sertifikatproblemer.

For å forhindre dette må du eksportere standardsertifikatet fra FLEX-enheten og installere det på klientmaskiner (f.eks. Windows OS) som et klarert rotsertifikat.

Gå til System > Sertifikat > Mine sertifikater for å eksportere standardsertifikatet fra USG FLEX H.

Installere sertifikatet

Etter at du har lastet ned sertifikatfilen (f.eks. default.crt), dobbeltklikker du på den.

  • I sertifikatvinduet klikker du på "Åpne".
  • I sertifikatvinduet klikker du på "Installer sertifikat...".
  • I veiviseren for sertifikatimport velger du:

I veiviseren for sertifikatimport velger du:

  • "Current User" - hvis du skal installere sertifikatet bare for din egen brukerkonto (ingen administratorrettigheter kreves i de fleste tilfeller).
  • "Lokal maskin" - hvis sertifikatet skal gjelde for alle brukere på datamaskinen (administratorrettigheter kreves).

Velg "Place all certificates in the following store" på neste skjermbilde.

Klikk på "Bla gjennom", og velg deretter "Trusted Root Certification Authorities".

Fullfør veiviseren og bekreft installasjonen.

Merk: Når sertifikatet er installert, vil nettlesere stole på FLEX-enheten under SSL-inspeksjon, og det vil ikke lenger vises sikkerhetsadvarsler for HTTPS-trafikk.

Test resultatet

Bruk en nettleser for å få tilgang til YouTube. Gatewayen vil omdirigere deg til en blokkert side.

Gå til Logg og rapport > Logg/hendelser, og velg Innholdsfiltrering for å sjekke loggene.

Artikler i denne seksjonen

Se mer
Var denne artikkelen nyttig?
0 av 0 syntes dette var nyttig
Del