Zyxel USG FLEX H Series [Брандмауэр] - Как блокировать HTTPS-сайты с помощью фильтрации содержимого и проверки SSL

Создан 15/04/2025 15:15 - Обновлено 15/04/2025 15:17

Serhii Boiarynov

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем местном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в отношении точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этом руководстве показано, как эффективно блокировать HTTPS-сайты с помощью Zyxel USG FLEX H Series, используя правила фильтрации содержимого, проверки SSL и политики безопасности. Этот подход нацелен на вредоносный или не связанный с бизнесом контент (например, потоковое мультимедиа, социальные сети и т. д.).

Примечание: В этой статье в качестве примеров используются все сетевые IP-адреса и маски подсетей. Замените их реальными сетевыми IP-адресами и масками подсетей. Данный пример был протестирован на USG FLEX 500H (версия прошивки: uOS 1.32).

Настройка фильтрации содержимого

Создайте новый профиль, включите регистрацию действий блокирования и выберите категории для блокирования (например, "Потоковое мультимедиа").

Перейдите в раздел: Служба безопасности > Фильтрация содержимого
Нажмите кнопку Добавить, чтобы создать профиль фильтрации содержимого в разделе Управление профилями.
Введите имя профиля и включите журнал для действий блокировки в разделе Общие настройки.
Отметьте категорию Streaming Media в Managed Categories и нажмите Apply.

После создания профиля его необходимо связать с соответствующей политикой безопасности. Без этого шага профиль не будет активирован и не повлияет на безопасность системы. Но мы сделаем это позже, после настройки профиля для инспектора SSL. Нажмите "Ок" и переходите к следующему пункту.

Настройка инспекции SSL

Перейдите в раздел Служба безопасности > Проверка SSL > Профиль > Управление профилем и нажмите кнопку Добавить, чтобы создать профиль

Используйте пользовательский сертификат ЦС - хотя в нашем примере мы используем сертификат по умолчанию, его рекомендуется использовать (желательно, чтобы он был подписан внутри компании или доверенным внутренним ЦС). Избегайте использования сертификата по умолчанию в производстве.
Установите минимальную версию TLS на TLS 1.2, если только устаревшие системы не требуют более старых версий.
Включите ведение журнала - всегда записывайте в журнал проверяемый трафик и исключения для наглядности и устранения неполадок.

Неподдерживаемые костюмы

Измените Action на Block, если это возможно, чтобы предотвратить использование небезопасных или устаревших шифров.
Включите ведение журнала, чтобы отслеживать, что обходится, и впоследствии вносить обоснованные коррективы.

Недоверенные цепочки сертификатов

Измените действие на "Блокировать" - Разрешение ненадежных сертификатов может пропустить вредоносный трафик.
Включите ведение журнала, чтобы получить полную информацию о попытках недоверенных подключений.

Другие важные советы

Распространите сертификат ЦС на все клиентские устройства и установите его в разделе "Доверенные корневые центры сертификации", чтобы избежать предупреждений SSL.
Исключите чувствительные приложения (например, банковские, государственные службы и т. д.) из списка "Не проверять", поскольку проверка SSL может нарушить их функциональность или привести к нарушению нормативных требований.
Регулярно проверяйте журналы и статистику SSL в разделе Статистика безопасности > Проверка SSL.
Обновляйте прошивку, чтобы воспользоваться преимуществами повышения производительности и безопасности, связанными с проверкой SSL.
Избегайте проверки внутреннего трафика (например, LAN-to-LAN), если в этом нет особой необходимости.

Настройка политики безопасности

После создания профиля его необходимо связать с соответствующей политикой безопасности. Без этого шага профиль не будет активирован и не окажет влияния на безопасность системы.

Перейдите в раздел Политика безопасности > Управление политикой. Отредактируйте LAN_Outgoing и прокрутите вниз до раздела профиля.
Выберите Фильтрация содержимого и Проверка SSL. Нажмите Применить, чтобы сохранить.

Экспорт и установка сертификата

Если на устройстве Zyxel USG FLEX H Series включена проверка SSL, а веб-сайт не распознает сертификат устройства по умолчанию или не доверяет ему, веб-браузеры отображают предупреждение о проблемах с сертификатом.

Чтобы предотвратить это, необходимо экспортировать сертификат по умолчанию с устройства FLEX и установить его на клиентских машинах (например, в ОС Windows) в качестве доверенного корневого сертификата.

Перейдите в меню Система > Сертификат > Мои сертификаты, чтобы экспортировать сертификат по умолчанию из USG FLEX H.

Установка сертификата

После загрузки файла сертификата (например, default.crt) дважды щелкните его.

В окне сертификата нажмите "Открыть".
В окне сертификата нажмите "Установить сертификат...".

В мастере импорта сертификатов выберите:

В мастере импорта сертификатов выберите:

"Текущий пользователь" - если вы устанавливаете сертификат только для своей учетной записи пользователя (в большинстве случаев права администратора не требуются).
"Локальная машина" - если сертификат должен применяться ко всем пользователям компьютера (требуются права администратора).

На следующем экране выберите "Поместить все сертификаты в следующее хранилище".

Нажмите "Обзор", затем выберите "Доверенные корневые центры сертификации".

Завершите работу мастера и подтвердите установку.

Примечание: После установки сертификата браузеры будут доверять устройству FLEX при проверке SSL, и предупреждения о безопасности больше не будут появляться для HTTPS-трафика.

Проверьте результат

Используйте веб-браузер для доступа к YouTube. Шлюз перенаправит вас на заблокированную страницу.

Перейдите в раздел Журнал и отчеты > Журнал/События и выберите Фильтрация содержимого, чтобы проверить журналы.

Статьи в этом разделе

Больше