Zyxel Firewall [USG FLEX, ATP Series] - Bästa praxis för SSL-inspektion och säkerhetstjänster

Skapat - Uppdaterad
Serhii Boiarynov
Print Friendly and PDF
Har du fler frågor? Skicka en förfrågan

Viktigt meddelande:
Kära kund, var medveten om att vi använder maskinöversättning för att tillhandahålla artiklar på ditt lokala språk. Det är inte säkert att all text översätts korrekt. Om det finns frågor eller avvikelser om riktigheten i informationen i den översatta versionen, vänligen granska originalartikeln här:Originalversion

Artikeln innehåller en steg-för-steg-guide om hur du konfigurerar SSL-inspektion på Zyxel-brandväggar [USG FLEX, ATP-serien], säkerställer att SSL-trafik dekrypteras, skannas och krypteras igen, följt av bästa praxis för SSL-inspektion. Dessa metoder omfattar aktivering av SSL-inspektion, fastställande av undantagskriterier, identifiering av kritiska webbplatser och regelbunden uppdatering av listan över betrodda webbplatser.

Inledning

SSL-inspektion, även känd som SSL/TLS-dekryptering eller SSL-dekryptering, är en säkerhetsteknik som används för att övervaka krypterad nätverkstrafik för potentiella hot. I och med den utbredda användningen av HTTPS har krypterad trafik blivit normen, vilket innebär en utmaning för traditionella säkerhetsåtgärder för att upptäcka och minska hot. SSL Inspection övervinner denna begränsning genom att dekryptera SSL-krypterad data, inspektera den för skadligt innehåll och återkryptera den för säker leverans.

Zyxel erbjuder SSL-inspektion och en rad säkerhetstjänster, inklusive IP-ryktesfiltrering, för att förbättra nätverkssäkerheten och skydda mot nya cyberhot. Genom att konfigurera dessa tjänster på rätt sätt och skapa en undantagslista för vissa webbplatser kan du hitta rätt balans mellan effektivitet och säkerhet i din nätverksmiljö.

1) Konfigurera SSL-inspektion

Med SSL-inspektion kan du kontrollera SSL-krypterade paket för att låta flera andra UTM-profiler fungera korrekt med HTTPS-trafik. Den här videon guidar dig genom en generisk konfigurationsinställning!

I Zyxel-brandväggar kan du utesluta innehållsfilterkategorier från SSL-inspektionen.

Detta kan göras genom att bläddra längst ner i "Exclude List" och klicka på "Advanced".

Steg för genomgång:

1. Få åtkomst till din enhet genom att ange dess IP-adress i webbläsarens adressrad och logga in med enhetens inloggningsuppgifter.
2. Navigera till Konfiguration > Objekt > Certifikat
3. Redigera det självsignerade standardcertifikatet och exportera det
4. På Windows måste du köra certmgr.msc och importera certifikatet till Trusted Root Certificate Authorities > Certifikat
5. På USG navigerar du till Konfiguration > UTM-profil > SSL-inspektion
6. Lägg till en ny profil och välj den profil som du har exporterat tidigare
7. Välj den åtgärd som ska tillämpas på SSL-trafiken
8. Navigera till Konfiguration > Säkerhetspolicy > Policykontroll
9. Lägg till en ny regel med kryssrutan SSL-inspektion markerad
10. Om du t.ex. använder Application Patrol kan du sedan ställa in regeln från LAN till WAN och välja den Application Patrol-profil du vill använda

All utgående SSL-trafik från LAN till WAN kommer då först att dekrypteras, skannas och antingen släppas eller krypteras igen.

Här väljer du de kategorier som ska uteslutas och klickar på "apply":

2) Bästa praxis för SSL-inspektion

  1. Aktivera SSL-inspektion: Innan du skapar en undantagslista måste du se till att SSL-inspektion är korrekt aktiverad på din Zyxel-säkerhetsapparat. Detta steg kan innebära att du genererar och installerar SSL-certifikat för att undvika säkerhetsvarningar på klientenheter (se den här artikeln).
  2. Fastställa kriterier för undantag: Definiera tydliga kriterier för att lägga till webbplatser i undantagslistan. Vanligtvis bör dessa kriterier omfatta en grundlig bedömning av webbplatsens rykte, syfte och pålitlighetsnivå. Endast betrodda webbplatser bör komma ifråga för undantag.
  3. Kritiska webbplatser och tjänster: Identifiera kritiska webbplatser och tjänster som måste undantas från SSL-inspektion för att säkerställa oavbruten funktionalitet. Dessa kan omfatta viktiga affärsapplikationer, finansiella portaler eller betalningsportaler online.
  4. Uppdatera betrodda webbplatser regelbundet: Cyberhot utvecklas ständigt och webbplatser som är säkra idag kan bli komprometterade imorgon. Granska och uppdatera listan över betrodda webbplatser kontinuerligt för att säkerställa säkerheten i din nätverksmiljö.
  5. Vit- och svartlistning: Använd både vitlistning och svartlistning för IP-ryktesfiltrering. Vitlista välrenommerade webbplatser för att kringgå SSL-inspektion och svartlista kända skadliga webbplatser för att förbättra säkerhetsåtgärderna.
  6. Interna resurser: Undanta interna nätverksresurser, t.ex. intranätwebbplatser och betrodda servrar, från SSL-inspektion för att förhindra onödig dekryptering och omkryptering.
  7. Undantag för känsliga data: Webbplatser som hanterar känsliga data, t.ex. medicinska journaler eller personlig information, bör övervägas för undantag för att skydda användarnas integritet och följa dataskyddsbestämmelser.
  8. Samarbete med användare: Involvera viktiga intressenter och slutanvändare när du skapar undantagslistan. Att samla in feedback och insikter från anställda kan hjälpa till att identifiera viktiga webbplatser och förbättra nätverkets övergripande effektivitet.
  9. Periodiska granskningar: Genomför regelbundna granskningar av undantagslistan för att säkerställa att den är relevant och effektiv. Ta bort onödiga poster och lägg till nya betrodda webbplatser vid behov.
  10. Loggning och övervakning: Aktivera detaljerad loggning och övervakning av SSL-inspektion och säkerhetstjänster för att upptäcka eventuella avvikelser eller obehöriga åtkomstförsök.

3) Rekommendationer för undantagslista för SSL-inspektion av webbplatser

Eftersom en lista över betrodda webbplatser ständigt måste övervakas och granskas av säkerhetsskäl kan vi föreslå några kategorier av webbplatser som vanligtvis betraktas som undantag i SSL-inspektion:

  1. Finansiella institutioner: Webbplatser för banker, kreditföreningar och andra finansinstitut som hanterar känsliga finansiella transaktioner och personuppgifter.
  2. Myndigheters och officiella webbplatser: Myndigheters webbplatser, officiella portaler och offentliga tjänster som kräver säker kommunikation.
  3. Vårdgivare: Webbplatser för sjukhus, kliniker och vårdgivare som hanterar konfidentiell medicinsk information.
  4. Utbildningsinstitutioner: Webbplatser för skolor, universitet och utbildningsplattformar där studenter får tillgång till läromedel och resurser.
  5. Interna nätverksresurser: Intranätplatser, interna servrar och andra betrodda resurser som endast används av organisationen.
  6. Samarbets- och kommunikationsverktyg: Betrodda kommunikationsverktyg, t.ex. videokonferensplattformar eller företagsövergripande meddelandesystem.
  7. Webbplatser för juridik och brottsbekämpning: Webbplatser för advokatbyråer, juridiska tjänster och brottsbekämpande myndigheter som hanterar känslig information.
  8. Välrenommerade nyheter och medier: Välkända och etablerade nyhetswebbplatser och medier.
  9. Servrar för program- och systemuppdateringar: Webbplatser som tillhandahåller programuppdateringar och korrigeringar från officiella källor.
  10. SaaS-leverantörer (Software-as-a-Service): Pålitliga molnbaserade tjänster som är kritiska för affärsverksamheten.

Kom ihåg att listan över betrodda webbplatser varierar beroende på din organisations specifika behov och krav. Involvera alltid viktiga intressenter, t.ex. IT-administratörer, avdelningschefer och slutanvändare, i processen med att skapa och underhålla undantagslistan. Granska och uppdatera listan regelbundet för att säkerställa att den är relevant och effektiv när det gäller att skapa en balans mellan nätverkseffektivitet och säkerhet.

Artiklar i detta avsnitt

Se fler
Var denna artikel till hjälp?
2 av 2 tyckte detta var till hjälp
Dela