5000作为公网出口防火墙,不想内网用户去访问一些指定网站,现在拿淘宝做测试,主机名写了*淘宝.com,目的是前缀不管是什么,只要匹配了方问淘宝.com,都给它拒绝掉。但是访问淘宝后发现还是能正常上网。即使主机名直接写www.淘宝.com依然可以访问。是f5000不支持的地址对象里的主机名,不支持标识符还是我的策略写得有问题呢?
(0)
最佳答案
缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可以选择如下方式:
①:使用SSL解密功能:先对HTTPS流量进行解密,然后再进行URL过滤。有关SSL解密功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
②:开启HTTPS流量过滤功能:不对HTTPS流量进行解密,直接对客户端发送的HTTPS的Client HELLO报文中的SNI(Sever Name Indication extension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名与URL过滤策略进行匹配。
由于SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能。
本案例介绍使用SSL解密方式,测试PC在trust域,运营商出口在untrust域
一、生成CA证书
具体可以参考我的另一个案例:https://zhiliao.h3c.com/theme/details/140116
需要注意的是,导入到防火墙的CA证书需要包含密钥对,且要配置密码
二、防火墙导入SSL解密证书
策略---应用代理---SSL证书---SSL解密证书
三、配置代理策略
策略---应用代理---代理策略
四、配置URL过滤配置文件
对象---应用安全---URL过滤---配置文件
五、安全策略调用URL过滤配置文件
策略---安全策略
六、激活DPI配置
对象---应用安全---高级---配置激活
七、PC安装前面的可信证书到“信任的根证书颁发机构”
八、验证
1、导入到防火墙的CA证书需要包含密钥对,且要配置密码
2、SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能
HTTPS流量未解密
https://
开头)。***.***
)。淘宝的域名结构复杂
***.***
、*.***.***
等)。***.***
会导致子资源加载失败(图片无法显示),但基础页面仍可能打开。# 步骤1:导入CA证书(需自行生成或购买)
system-view
object-group certificate ca-cert # 创建证书对象组
certificate import pem ca.p12 # 导入CA证书
# 步骤2:配置SSL解密策略
ssl decrypt policy TAOBAO_BLOCK
cipher-suite all # 解密所有加密算法
ca-certificate ca-cert # 绑定证书对象组
action decrypt # 执行解密操作
# 步骤3:应用解密策略到安全策略
security-policy ip
rule name BLOCK_TAOBAO
source-zone Trust
destination-zone Untrust
profile ssl-decrypt TAOBAO_BLOCK # 调用解密策略
url-filter apply policy BLOCK_TAOBAO_URL # 添加URL过滤策略
action deny # 拒绝访问
终端操作:
# 创建DNS过滤策略阻止淘宝域名解析
dns-filter policy BLOCK_TAOBAO_DNS
rule 1 deny type qname pattern "****.***" # 阻断所有***.***解析
rule 2 deny type qname pattern "****.***" # 天猫域名通常关联
# 应用策略到内网接口
interface GigabitEthernet1/0/2 # 内网接口
dns-filter apply policy BLOCK_TAOBAO_DNS
效果:
# 使用HTTPS SNI扩展识别域名
url-filter policy BLOCK_TAOBAO
rule 1 deny host sni "*.***.***" # 匹配TLS握手SNI字段
前提条件:
操作优先级:
① 先尝试 DNS过滤方案(快速验证效果);
② 若需深度阻断,采用 HTTPS解密 或 SNI检测(根据设备版本选择)。
若您的设备版本不支持SNI检测且无法部署HTTPS解密,建议优先通过DNS过滤配合安全策略放通必要业务域名(如办公系统),其余域名默认拒绝。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论