防火墙产品如何实现SSL代理功能

https://www.h3c.com/cn/d_202108/1455030_30005_0.htm

5. 保护内网服务器场景下SSL代理实现原理

SSL代理功能是基于TCP代理功能实现的，当设备根据代理策略判断需要进行SSL代理时，先进行TCP代理，建立TCP连接，再进行SSL代理。在保护内网服务器的场景下，SSL代理实现流程如图1-4所示（以外网客户端访问内网服务器为例）。

图1-4 保护内网服务器场景下SSL代理原理图

保护内网服务器的场景下，SSL代理实现流程如下：

(10)     管理员获取需要保护的内网服务器的证书，并导入到设备中。

(11)     设备接收到客户端发起的SSL连接建立请求。

(12)     设备作为代理客户端向服务器发起建立SSL连接建立请求。

(13)     服务器响应请求并发送服务器证书。

(14)     设备验证服务器证书的合法性，验证通过后与服务器协商加密算法等信息，完成SSL握手，成功建立SSL连接。

(15)     设备作为代理服务器，响应客户端请求，并将导入的内网服务器证书发送给客户端。

(16)     客户端完成对服务器证书的校验后，与设备完成SSL握手，建立SSL连接。

(17)     客户端、服务器和设备之间传输加密的SSL报文。

(18)     设备解密SSL流量，并进行DPI深度安全业务处理。

(19)     完成DPI业务处理后，设备将再次加密后的报文发往服务器。

1.1.3  代理策略规则

代理策略对报文的控制是通过代理策略规则实现的，代理策略根据配置的代理策略规则对流量进行划分，对不同的流量进行不同代理方式的处理。规则中可以设置匹配报文的过滤条件以及处理报文的动作。

1. 规则的名称和编号

代理策略中的每条规则都由唯一的名称和编号标识。名称必须在创建规则时由用户手工指定；而编号既可以手工指定，也可以由系统自动分配。

2. 规则的过滤条件

每条规则中均可以配置多种过滤条件，具体包括：源安全域、目的安全域、源IP地址、目的IP地址、用户、用户组和服务。每种过滤条件中均可以配置多个匹配项，比如源安全域过滤条件中可以指定多个源安全域，任何一个匹配项被匹配成功则认为该过滤条件匹配成功。

3. 规则的匹配顺序

缺省情况下，设备按照规则创建的先后顺序对报文进行匹配，先创建的先匹配，也可以通过手工的方式调整规则的匹配顺序。当一条规则匹配成功后，则结束匹配过程。

建议将规划的所有规则按照“深度优先”的原则（即控制范围小的、条件细化的在前，范围大的在后）进行排序，再按照此顺序配置每一条规则。

4. 规则的动作

设备将根据代理策略规则中配置的动作，对命中策略的流量进行如下处理：

·     动作配置为TCP代理时，设备将对命中策略的流量进行TCP代理。

·     动作配置为SSL解密时，设备将对命中策略的流量进行SSL代理，并基于此对SSL流量进行解密，并对解密后的流量进行DPI深度安全检测。

其中，SSL解密功能支持如下防护类型：

¡     客户端：用于保护内网客户端的场景。

¡     服务器：用于保护内网服务器的场景。

·     动作配置为不代理时，设备将对命中策略的流量进行透传。

5. 规则的匹配过程

代理策略对规则的匹配过程如图1-5所示：

图1-5 代理策略的报文处理流程图

代理策略对报文的处理过程如下：

(20)     将报文的属性信息与过滤条件中的匹配项进行匹配。每种过滤条件的多个匹配项之间是或的关系，即报文与某一个过滤条件中的任意一项匹配成功，则报文与此过滤条件匹配成功；若报文与某一个过滤条件中的所有项都匹配失败，则报文与此过滤条件匹配失败。

(21)     若报文与某条规则中的所有过滤条件都匹配成功（用户与用户组匹配一项即可），则报文与此条规则匹配成功。若有一个过滤条件不匹配，则报文与此条规则匹配失败，报文继续匹配下一条规则。以此类推，直到最后一条规则，若报文还未与规则匹配成功，则设备对此报文执行策略配置的缺省动作。

(22)     若报文与某条规则匹配成功，则结束此匹配过程，并对此报文执行规则中配置的动作。

(23)     若报文与任何规则都不能匹配成功，则对报文执行代理策略的缺省动作。

1.2  代理策略配置限制和指导

·     TCP代理与SSL代理对设备的转发性能会产生较大的影响，请根据实际情况判断是否需要开启上述功能。

·     配置代理策略时，请尽量细化策略的过滤条件，避免代理策略的过滤条件过于宽泛，影响设备的正常转发。

·     当设备进行TCP代理时，如果同时需要进行NAT业务的处理，则不支持ALG功能。有关NAT业务和ALG功能的详细介绍，请参见“三层技术-IP业务配置指导”中的“NAT”。

·     如果同时需要配置SSL代理和TCP代理功能，配置代理策略规则时，请先配置动作为SSL解密的规则，避免因为先匹配到动作为TCP代理的规则导致SSL解密的规则匹配失败。

·     配置SSL代理功能时，需要在安全策略中允许源安全域和Local域互通。有关安全策略的详细介绍，请参见“安全配置指导”中的“安全策略”。

·     开启SSL代理或TCP代理后，IPS和WAF业务的捕获动作将失效。有关捕获动作的详细介绍，请参见“DPI深度安全配置指导”中的“IPS”和“WAF”。

·     配置SSL代理功能时，请务必根据不同的使用场景正确配置SSL解密功能的防护类型，并配置相应类型的证书与客户端进行SSL协商。

·     在RBM双机热备的非对称组网环境中（即同一条流量的报文来回路径不一致），不支持使用TCP代理和SSL代理功能。即使配置了TCP代理或SSL代理功能，其功能也不会生效。有关RBM双机热备的详细介绍，请参见“高可靠性配置指导”中的“双机热备（RBM）”。

1.3  代理策略配置流程图

代理策略的基本配置思路如图1-6所示，在配置代理策略之前需要完成的配置包括：创建安全域、配置接口并加入安全域、配置对象、配置DPI业务、配置安全策略。

图1-6 代理策略配置流程图