• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙产品如何实现SSL代理功能

2024-12-10提问
  • 0关注
  • 0收藏,123浏览
粉丝:0人 关注:15人

问题描述:

如题

2 个回答
粉丝:160人 关注:1人

https://www.h3c.com/cn/d_202108/1455030_30005_0.htm

暂无评论

粉丝:7人 关注:1人

5. 保护内网服务器场景下SSL代理实现原理

SSL代理功能是基于TCP代理功能实现的,当设备根据代理策略判断需要进行SSL代理时,先进行TCP代理,建立TCP连接,再进行SSL代理。在保护内网服务器的场景下,SSL代理实现流程如图1-4所示(以外网客户端访问内网服务器为例)。

图1-4 保护内网服务器场景下SSL代理原理图

 

保护内网服务器的场景下,SSL代理实现流程如下:

(10)     管理员获取需要保护的内网服务器的证书,并导入到设备中。

(11)     设备接收到客户端发起的SSL连接建立请求。

(12)     设备作为代理客户端向服务器发起建立SSL连接建立请求。

(13)     服务器响应请求并发送服务器证书。

(14)     设备验证服务器证书的合法性,验证通过后与服务器协商加密算法等信息,完成SSL握手,成功建立SSL连接。

(15)     设备作为代理服务器,响应客户端请求,并将导入的内网服务器证书发送给客户端。

(16)     客户端完成对服务器证书的校验后,与设备完成SSL握手,建立SSL连接。

(17)     客户端、服务器和设备之间传输加密的SSL报文。

(18)     设备解密SSL流量,并进行DPI深度安全业务处理。

(19)     完成DPI业务处理后,设备将再次加密后的报文发往服务器。

1.1.3  代理策略规则

代理策略对报文的控制是通过代理策略规则实现的,代理策略根据配置的代理策略规则对流量进行划分,对不同的流量进行不同代理方式的处理。规则中可以设置匹配报文的过滤条件以及处理报文的动作。

1. 规则的名称和编号

代理策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定;而编号既可以手工指定,也可以由系统自动分配。

2. 规则的过滤条件

每条规则中均可以配置多种过滤条件,具体包括:源安全域、目的安全域、源IP地址、目的IP地址、用户、用户组和服务。每种过滤条件中均可以配置多个匹配项,比如源安全域过滤条件中可以指定多个源安全域,任何一个匹配项被匹配成功则认为该过滤条件匹配成功。

3. 规则的匹配顺序

缺省情况下,设备按照规则创建的先后顺序对报文进行匹配,先创建的先匹配,也可以通过手工的方式调整规则的匹配顺序。当一条规则匹配成功后,则结束匹配过程。

建议将规划的所有规则按照“深度优先”的原则(即控制范围小的、条件细化的在前,范围大的在后)进行排序,再按照此顺序配置每一条规则。

4. 规则的动作

设备将根据代理策略规则中配置的动作,对命中策略的流量进行如下处理:

·     动作配置为TCP代理时,设备将对命中策略的流量进行TCP代理。

·     动作配置为SSL解密时,设备将对命中策略的流量进行SSL代理,并基于此对SSL流量进行解密,并对解密后的流量进行DPI深度安全检测。

其中,SSL解密功能支持如下防护类型:

¡     客户端:用于保护内网客户端的场景。

¡     服务器:用于保护内网服务器的场景。

·     动作配置为不代理时,设备将对命中策略的流量进行透传。

5. 规则的匹配过程

代理策略对规则的匹配过程如图1-5所示:

图1-5 代理策略的报文处理流程图

 

代理策略对报文的处理过程如下:

(20)     将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系,即报文与某一个过滤条件中的任意一项匹配成功,则报文与此过滤条件匹配成功;若报文与某一个过滤条件中的所有项都匹配失败,则报文与此过滤条件匹配失败。

(21)     若报文与某条规则中的所有过滤条件都匹配成功(用户与用户组匹配一项即可),则报文与此条规则匹配成功。若有一个过滤条件不匹配,则报文与此条规则匹配失败,报文继续匹配下一条规则。以此类推,直到最后一条规则,若报文还未与规则匹配成功,则设备对此报文执行策略配置的缺省动作。

(22)     若报文与某条规则匹配成功,则结束此匹配过程,并对此报文执行规则中配置的动作。

(23)     若报文与任何规则都不能匹配成功,则对报文执行代理策略的缺省动作。

1.2  代理策略配置限制和指导

·     TCP代理与SSL代理对设备的转发性能会产生较大的影响,请根据实际情况判断是否需要开启上述功能。

·     配置代理策略时,请尽量细化策略的过滤条件,避免代理策略的过滤条件过于宽泛,影响设备的正常转发。

·     当设备进行TCP代理时,如果同时需要进行NAT业务的处理,则不支持ALG功能。有关NAT业务和ALG功能的详细介绍,请参见“三层技术-IP业务配置指导”中的“NAT”。

·     如果同时需要配置SSL代理和TCP代理功能,配置代理策略规则时,请先配置动作为SSL解密的规则,避免因为先匹配到动作为TCP代理的规则导致SSL解密的规则匹配失败。

·     配置SSL代理功能时,需要在安全策略中允许源安全域和Local域互通。有关安全策略的详细介绍,请参见“安全配置指导”中的“安全策略”。

·     开启SSL代理或TCP代理后,IPS和WAF业务的捕获动作将失效。有关捕获动作的详细介绍,请参见“DPI深度安全配置指导”中的“IPS”和“WAF”。

·     配置SSL代理功能时,请务必根据不同的使用场景正确配置SSL解密功能的防护类型,并配置相应类型的证书与客户端进行SSL协商。

·     在RBM双机热备的非对称组网环境中(即同一条流量的报文来回路径不一致),不支持使用TCP代理和SSL代理功能。即使配置了TCP代理或SSL代理功能,其功能也不会生效。有关RBM双机热备的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。

1.3  代理策略配置流程图

代理策略的基本配置思路如图1-6所示,在配置代理策略之前需要完成的配置包括:创建安全域、配置接口并加入安全域、配置对象、配置DPI业务、配置安全策略。

图1-6 代理策略配置流程图

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明