Zyxel USG FLEX H Series [Firewall] - Jak blokować strony HTTPS za pomocą filtrowania treści i inspekcji SSL?

Utworzono - Zaktualizowano
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Ten przewodnik pokazuje, jak skutecznie blokować strony HTTPS za pomocą Zyxel USG FLEX H Series, wykorzystując filtrowanie treści, inspekcję SSL i reguły polityki bezpieczeństwa. Podejście to jest ukierunkowane na złośliwe lub niezwiązane z biznesem treści (np. media strumieniowe, media społecznościowe itp.).

Uwaga: Ten artykuł wykorzystuje wszystkie sieciowe adresy IP i maski podsieci jako przykłady. Zastąp je rzeczywistymi sieciowymi adresami IP i maskami podsieci. Ten przykład został przetestowany przy użyciu USG FLEX 500H (wersja oprogramowania układowego: uOS 1.32).

Konfiguracja filtrowania treści

Utwórz nowy profil, włącz dziennik dla akcji blokowania i wybierz kategorie do zablokowania (np. "Media strumieniowe").

  • Przejdź do: Usługa zabezpieczeń > Filtrowanie zawartości
  • Kliknij Dodaj, aby utworzyć profil filtrowania treści w Zarządzaniu profilami.
  • Wpisz nazwę profilu i włącz dziennik dla akcji blokowania w Ustawieniach ogólnych.
  • Zaznacz kategorię Streaming Media w Managed Categories i kliknij Apply.

Po utworzeniu profilu należy go powiązać z odpowiednią polityką bezpieczeństwa. Bez tego kroku profil nie zostanie aktywowany ani nie wpłynie na bezpieczeństwo systemu. Zrobimy to jednak później, po skonfigurowaniu profilu dla inspektora SSL. Kliknij "Ok" i przejdź do następnego punktu.

Konfiguracja inspekcji SSL

Przejdź do Security Service > SSL inspection > profile > Profile Management i kliknij Add, aby utworzyć profil.

  • Użyj niestandardowego certyfikatu CA - chociaż w naszym przykładzie używamy domyślnego certyfikatu, zaleca się jego użycie (najlepiej podpisanego wewnętrznie lub przez zaufany wewnętrzny urząd certyfikacji). Unikaj używania domyślnego certyfikatu w środowisku produkcyjnym.
  • Ustaw minimalną wersję TLS na TLS 1.2, chyba że starsze systemy wymagają starszych wersji.
  • Włącz rejestrowanie - zawsze rejestruj kontrolowany ruch i wyjątki w celu zapewnienia widoczności i rozwiązywania problemów.

Nieobsługiwany kombinezon

  • Zmień Action na Block, jeśli to możliwe, aby zapobiec niebezpiecznemu lub przestarzałemu użyciu szyfru.
  • Włącz rejestrowanie, aby monitorować, co jest omijane i dokonywać świadomych zmian później.

Niezaufane łańcuchy certyfikatów

  • Zmień Action na Block - Zezwalanie na niezaufane certyfikaty może przepuszczać złośliwy ruch.
  • Włączrejestrowanie, aby uzyskać pełny wgląd w próby niezaufanych połączeń.

Inne ważne wskazówki

  • Rozpowszechnij certyfikat CA na wszystkich urządzeniach klienckich i zainstaluj go w sekcji "Zaufane główne urzędy certyfikacji", aby uniknąć ostrzeżeń SSL.
  • Wyklucz wrażliwe aplikacje (np. bankowość, usługi rządowe itp.) za pomocą listy "Do Not Inspect List", ponieważ inspekcja SSL może złamać ich funkcjonalność lub naruszyć zgodność.
  • Regularnie monitoruj logi i statystyki SSL w sekcji Security Statistics > SSL Inspection.
  • Aktualizujoprogramowanie sprzętowe, aby korzystać z ulepszeń wydajności i bezpieczeństwa związanych z inspekcją SSL.
  • Unikaj inspekcji ruchu wewnętrznego (np. LAN-to-LAN), chyba że jest to szczególnie potrzebne.

Konfiguracja zasad bezpieczeństwa

Po utworzeniu profilu należy go powiązać z odpowiednią polityką bezpieczeństwa. Bez tego kroku profil nie zostanie aktywowany i nie będzie miał wpływu na bezpieczeństwo systemu.

  • Przejdź do Security Policy > Policy control. Edytuj LAN_Outgoing i przewiń w dół do sekcji profilu.
  • Wybierz filtrowanie treści i inspekcję SSL. Kliknij Zastosuj, aby zapisać.

Eksport i instalacja certyfikatu

Gdy inspekcja SSL jest włączona w Zyxel USG FLEX H Series, a strona internetowa nie rozpoznaje lub nie ufa domyślnemu certyfikatowi urządzenia, przeglądarki internetowe wyświetlą ostrzeżenie o zabezpieczeniach wskazujące na problemy z certyfikatem.

Aby temu zapobiec, należy wyeksportować domyślny certyfikat z urządzenia FLEX i zainstalować go na komputerach klienckich (np. w systemie operacyjnym Windows) jako zaufany certyfikat główny.

Przejdź do System > Certyfikat > Moje certyfikaty, aby wyeksportować domyślny certyfikat z USG FLEX H.

Instalacja certyfikatu

Po pobraniu pliku certyfikatu (np. default.crt) kliknij go dwukrotnie.

  • W oknie certyfikatu kliknij "Otwórz".
  • W oknie certyfikatu kliknij "Zainstaluj certyfikat...".
  • W Kreatorze importu certyfikatów wybierz:

W Kreatorze importu certyfikatów wybierz:

  • "Bieżący użytkownik" - jeśli instalujesz certyfikat tylko dla swojego konta użytkownika (w większości przypadków nie są wymagane uprawnienia administratora).
  • "Local Machine" - jeśli certyfikat ma dotyczyć wszystkich użytkowników na komputerze (wymagane uprawnienia administratora).

Na następnym ekranie wybierz opcję "Umieść wszystkie certyfikaty w następującym magazynie".

Kliknij "Przeglądaj", a następnie wybierz "Zaufane główne urzędy certyfikacji".

Zakończ działanie kreatora i potwierdź instalację.

Uwaga: Po zainstalowaniu certyfikatu przeglądarki będą ufać urządzeniu FLEX podczas inspekcji SSL, a ostrzeżenia o zabezpieczeniach nie będą już wyświetlane dla ruchu HTTPS.

Przetestuj wynik

Użyj przeglądarki internetowej, aby uzyskać dostęp do YouTube. Brama przekieruje Cię na zablokowaną stronę.

Przejdź do Log & Report > Log/Events i wybierz Content Filtering, aby sprawdzić logi.

Artykuły w tej sekcji

Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 1
Udostępnij

Komentarze

Komentarze: 0

Zaloguj się, aby dodać komentarz.