Viktigt meddelande: |
Den här guiden visar hur man effektivt blockerar HTTPS-webbplatser med Zyxel USG FLEX H-serien genom att utnyttja regler för innehållsfiltrering, SSL-inspektion och säkerhetspolicy. Metoden riktar in sig på skadligt eller icke-affärsrelaterat innehåll (t.ex. strömmande media, sociala medier etc.).
Obs: I den här artikeln används alla IP-adresser och subnätmasker i nätverket som exempel. Ersätt dem med IP-adresser och subnätmasker för ditt faktiska nätverk. Detta exempel testades med USG FLEX 500H (Firmwareversion: uOS 1.32).
Konfigurera innehållsfiltrering
Skapa en ny profil, aktivera logg för blockeringsåtgärder och välj kategorier som ska blockeras (t.ex. "Streaming Media").
- Navigera till:
Säkerhetstjänst > Innehållsfiltrering
- Klicka på Lägg till för att skapa en innehållsfiltreringsprofil i Profilhantering.
- Ange profilnamn och aktivera logg för blockeringsåtgärd i Allmänna inställningar.
- Kryssa i kategorin Streaming Media i Hanterade kategorier och klicka på Verkställ.
När profilen har skapats måste den länkas till lämplig säkerhetspolicy. Utan detta steg kommer profilen inte att aktiveras eller påverka systemets säkerhet. Men det gör vi senare när vi har konfigurerat profilen för SSL-inspektören. Klicka på "Ok" och gå vidare till nästa punkt.
Konfigurera SSL-inspektion
Gå till Säkerhetstjänst > SSL-inspektion > profil > Profilhantering och klicka på Lägg till för att skapa en profil
- Använd ett anpassat CA-certifikat - även om vi använder standardcertifikatet i vårt exempel rekommenderas det att använda (helst signerat internt eller av en betrodd intern CA). Undvik att använda standardcertifikatet i produktionen.
-
Ställ in minsta TLS-version till
TLS 1.2,
såvida inte äldre system kräver äldre versioner. - Aktivera loggning - logga alltid inspekterad trafik och undantag för insyn och felsökning.
Kostym som inte stöds
-
Сänd
Action
tillBlock
, om möjligt, för att förhindra osäker eller föråldrad chifferanvändning. - Aktivera loggning för att övervaka vad som kringgås och göra informerade justeringar senare.
Otillförlitliga certifikatkedjor
-
Ändra
åtgärd
tillBlockera
- Att tillåta icke betrodda certifikat kan släppa igenom skadlig trafik. - Aktivera loggning för att få full insyn i försök till icke betrodda anslutningar.
Andra viktiga tips
- Distribuera CA-certifikatet till alla klientenheter och installera det under "Betrodda rotcertifikatutfärdare" för att undvika SSL-varningar.
- Uteslut känsliga appar (t.ex. bank- och myndighetstjänster) med hjälp av "Do Not Inspect List", eftersom SSL-inspektion kan förstöra deras funktionalitet eller bryta mot efterlevnad.
-
Övervaka regelbundet SSL-loggar och statistik under
Säkerhetsstatistik > SSL-inspektion
- Håll firmware uppdaterad för att dra nytta av prestanda- och säkerhetsförbättringar relaterade till SSL-inspektion.
- Undvik att inspektera intern trafik (t.ex. LAN-till-LAN), om det inte behövs specifikt.
Konfigurera säkerhetspolicyn
När du har skapat profilen måste den länkas till lämplig säkerhetspolicy. Utan detta steg kommer profilen inte att aktiveras och kommer inte att ha någon inverkan på systemets säkerhet.
- Gå till Säkerhetspolicy > Policykontroll. Redigera LAN_Outgoing och bläddra ned till profilavsnittet.
- Välj Innehållsfiltrering och SSL-inspektion. Klicka på Apply för att spara.
Exportera och installera certifikat
När SSL-inspektion är aktiverad på Zyxel USG FLEX H-serien och en webbplats inte känner igen eller litar på enhetens standardcertifikat, kommer webbläsare att visa en säkerhetsvarning som indikerar certifikatproblem.
För att förhindra detta måste du exportera standard certifikatet från FLEX-enheten och installera det på klientdatorer (t.ex. Windows OS) som ett betrott rotcertifikat.
Gå till System > Certifikat > Mina certifikat för att exportera standardcertifikatet från USG FLEX H.
Installera certifikatet
När du har laddat ner certifikatfilen (t.ex. default.crt
) dubbelklickar du på den.
- I certifikatfönstret klickar du på "Öppna".
- I certifikatfönstret klickar du på "Installera certifikat...".
- I guiden för certifikatimport väljer du:
I guiden för certifikatimport väljer du:
- "Current User" - om du installerar certifikatet bara för ditt användarkonto (inga administratörsrättigheter krävs i de flesta fall).
- "Lokal maskin" - om certifikatet ska gälla för alla användare på datorn (administratörsrättigheter krävs).
Välj "Placera alla certifikat i följande butik" på nästa skärm.
Klicka på "Browse" och välj sedan "Trusted Root Certification Authorities".
Slutför guiden och bekräfta installationen.
Obs: När certifikatet har installerats kommer webbläsarna att lita på FLEX-enheten under SSL-inspektion och säkerhetsvarningar kommer inte längre att visas för HTTPS-trafik.
Testa resultatet
Använd en webbläsare för att komma åt YouTube. Gatewayen kommer att omdirigera dig till en blockerad sida.
Gå till Log & Report > Log/Events och välj Content Filtering för att kontrollera loggarna.