拓扑如下:
某局点ACG1000透明部署https解密用于访问网站审计和邮件审计,但是配置后发现开启https解密,内网PC无法正常访问https网页,关闭https解密后正常,开启邮箱解密配置则无法正常审计到邮箱内容。
首先我们先理解一下ACG透明模式下HTTPS解密的原理:
1.主机访问https的hello 报文经过ACG时被替换了源地址,以网桥接口地址继续向外网发送SSL请求。
2.外网向ACG的网桥接口回应Server hello时,里面携带的服务器证书信息被替换为ACG本地证书进行解析。
所以整个HTTPS解密过程中,主机的DNS需要指向设备的入接口,以保证DNS流量过ACG,并且ACG上的网桥接口地址必须与外网互通,按照以上两点思路即可。
检查主机和ACG的相关配置
在ACG出口上抓包查看,服务器端未回应server hello报文。
在主机上解析外网DNS,解析失败。
最后在ACG使用网桥接口IP地址PING外网DNS地址时,发现无法PING通,我们怀疑问题在出口防火墙上。
经排查发现出口防火墙上NAT未放通网桥接口地址,添加后问题解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作