zhiliao_Gixe
五段
首先解决证书问题:防火墙可生成自签证书(适合内网场景),需将该证书导入内网所有用户的「受信任根证书颁发机构」(如通过组策略推送,避免浏览器证书告警),生成命令:
系统视图下:pki cert request local-cert generate self-signed common-name "FW_SSL_Decrypt_CA"
配置步骤:
1. 配置SSL解密策略:
ssl policy decrypt_1
certificate local-cert FW_SSL_Decrypt_CA
rule 1 source-zone trust destination-zone untrust service https action decrypt
2. 配置应用代理+安全策略(关联IPS、URL/文件过滤模板):
app-proxy policy https_proxy
ssl-policy decrypt_1
// 提前关联已配置的IPS、URL过滤、文件过滤模板
security-policy interzone trust untrust
rule 1 name allow_https
source-addr 内网段
service https
action permit
app-proxy apply https_proxy
系统视图下:pki cert request local-cert generate self-signed common-name "FW_SSL_Decrypt_CA"
配置步骤:
1. 配置SSL解密策略:
ssl policy decrypt_1
certificate local-cert FW_SSL_Decrypt_CA
rule 1 source-zone trust destination-zone untrust service https action decrypt
2. 配置应用代理+安全策略(关联IPS、URL/文件过滤模板):
app-proxy policy https_proxy
ssl-policy decrypt_1
// 提前关联已配置的IPS、URL过滤、文件过滤模板
security-policy interzone trust untrust
rule 1 name allow_https
source-addr 内网段
service https
action permit
app-proxy apply https_proxy
自行找CA去申请
或者搭一个";
缺省情况下,设备仅对HTTP流量进行URL过滤,如果需要对HTTPS流量进行URL过滤,则可以选择如下方式:
①:使用SSL解密功能:先对HTTPS流量进行解密,然后再进行URL过滤。有关SSL解密功能的详细介绍,请参见“DPI深度安全配置指导”中的“代理策略”。
②:开启HTTPS流量过滤功能:不对HTTPS流量进行解密,直接对客户端发送的HTTPS的Client HELLO报文中的SNI(Sever Name Indication extension)字段进行检测,从中获取用户访问的服务器域名,使用获取到的域名与URL过滤策略进行匹配。
由于SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能。
本案例介绍使用SSL解密方式,测试PC在trust域,运营商出口在untrust域
配置步骤
一、生成CA证书
具体可以参考我的另一个案例:https://zhiliao.h3c.com/theme/details/140116
需要注意的是,导入到防火墙的CA证书需要包含密钥对,且要配置密码
二、防火墙导入SSL解密证书
策略---应用代理---SSL证书---SSL解密证书
三、配置代理策略
策略---应用代理---代理策略
四、配置URL过滤配置文件
对象---应用安全---URL过滤---配置文件
五、安全策略调用URL过滤配置文件
策略---安全策略
六、激活DPI配置
对象---应用安全---高级---配置激活
七、PC安装前面的可信证书到“信任的根证书颁发机构”
八、验证
配置关键点
1、导入到防火墙的CA证书需要包含密钥对,且要配置密码
2、SSL解密功能涉及大量的加解密操作,会对设备的转发性能会产生较大的影响,建议在仅需要对HTTPS流量进行URL过滤业务处理的场景下开启HTTPS流量过滤功能
暂无评论
一、先搞懂:SSL 解密的证书从哪来?
你不用额外搭证书服务器!防火墙本身就能生成自签名 CA 证书,用来给内网用户做 HTTPS 解密的中间人代理,步骤如下:
- 防火墙生成自签名 CA 根证书和私钥。
- 导出根证书,安装到所有内网终端的「受信任根证书颁发机构」里。
- 后续用户访问 HTTPS 网站时,防火墙会用这个 CA 临时签发证书给用户,浏览器就不会报安全警告了。
二、完整配置步骤(按你截图的 Web 界面来)
🔑 第一步:在防火墙上生成 SSL 解密用的 CA 证书
这是你卡住的第一步,直接在防火墙 Web 界面操作即可:
- 进入「对象 > PKI > 证书」(你截图里的界面)。
- 点击顶部的「新建 PKI 域」,创建一个域(比如
FW-SSL-Decrypt-CA)。 - 进入新建的 PKI 域,点击「提交申请」,选择「生成根证书」:
- 证书名称:自定义(比如
FW_SSL_CA) - 密钥长度:2048 或更高(推荐 2048,兼容性好)
- 有效期:按需设置(比如 10 年)
- 国家 / 省市 / 组织信息:随便填(比如 CN、Beijing、YourCompany)
- 证书名称:自定义(比如
- 提交后,设备会自动生成根 CA 证书和私钥。
- 回到「对象 > PKI > 证书」,选中生成的根证书,点击「导出」,保存为
.p12格式文件(带私钥),后续导入解密用。
📥 第二步:导入证书到「SSL 解密证书」列表
这一步是把刚才生成的证书,关联到应用代理功能里:
- 进入「策略 > 应用代理 > SSL 证书 > SSL 解密证书」(你第二张截图的界面)。
- 点击「导入」,选择刚才导出的
.p12证书文件,输入你设置的证书密码。 - 证书标记选择「可信」,完成导入。
- 导入成功后,证书会出现在列表里,后续解密策略会引用它。
🛡️ 第三步:配置 SSL 解密策略
这一步定义「哪些流量需要解密、用哪个证书解密」:
- 进入「对象 > SSL > SSL 解密策略」(如果 Web 界面找不到,用命令行更直接):bash运行
# 1. 创建SSL解密策略,引用刚才导入的证书 ssl policy decrypt_https certificate local-cert FW_SSL_CA # 这里填你导入的证书名称 rule 1 source-zone trust destination-zone untrust service https action decrypt - 规则说明:匹配内网(trust)到外网(untrust)的 HTTPS 流量,执行解密动作。
🧩 第四步:配置应用代理策略,关联安全检测(IPS / 文件过滤 / URL 过滤)
这一步是把解密后的流量交给 IPS 和文件过滤处理,实现你要的「禁止下载可执行文件」:
- 先提前配置好你需要的安全模板:
- IPS 模板:启用防攻击特征库。
- URL 过滤模板:按需配置网站黑白名单。
- 文件过滤模板:添加规则,禁止下载
.exe/.bat/.ps1等可执行文件。
- 进入「策略 > 应用代理 > 代理策略」,新建一条策略:
- 名称:自定义(比如
HTTPS-Proxy-All) - 源安全域:trust
- 目的安全域:untrust
- 服务:HTTPS
- 关联 SSL 解密策略:选择刚才创建的
decrypt_https - 关联安全检测:勾选 IPS、URL 过滤、文件过滤,选择你提前配置好的模板。
- 名称:自定义(比如
- 保存并启用这条代理策略。
📄 第五步:内网终端安装 CA 根证书(关键!否则浏览器会报安全错误)
这一步不做,用户访问 HTTPS 网站会全是警告,无法正常访问:
- 回到「对象 > PKI > 证书」,导出刚才生成的根 CA 证书(这次导出
.cer格式,不带私钥)。 - 把
.cer文件分发到所有内网终端:- Windows 终端:双击证书 → 安装证书 → 存储位置选择「本地计算机」→ 放入「受信任的根证书颁发机构」。
- 手机 / 其他终端:导入证书并信任。
✅ 第六步:配置安全策略,放行代理流量
最后别忘了放行 trust 到 untrust 的流量,确保流量能匹配到代理策略:
- 进入「策略 > 安全策略」,新建一条策略:
- 源:trust 域 / 内网网段
- 目的:untrust 域 / 外网
- 服务:HTTPS(或 all)
- 动作:允许
- 应用:关联刚才的应用代理策略。
⚠️ 常见坑与避坑指南
- 证书有效期问题:生成的 CA 证书有效期建议设长一点,避免频繁更新证书导致终端信任失效。
- 终端信任问题:如果用户访问 HTTPS 还是报安全错误,检查证书是否正确导入到「受信任根证书」,而不是「中级证书颁发机构」。
- 性能问题:SSL 解密会消耗防火墙 CPU 资源,AK9120 性能足够支撑,但不要过度开启不必要的解密规则。
- 例外处理:银行、企业内网等不希望被解密的网站,可以在 SSL 解密策略里添加「不解密规则」,或者在应用代理里配置例外名单。
💡 命令行一键配置模板(给你参考)
bash
运行
# 1. 导入SSL解密证书(提前把p12文件上传到防火墙flash根目录)
app-proxy ssl-decrypt-certificate import trust p12 filename FW_SSL_CA.p12 password 你的证书密码
# 2. 创建SSL解密策略
ssl policy decrypt_https
certificate local-cert FW_SSL_CA
rule 1 source-zone trust destination-zone untrust service https action decrypt
# 3. 创建应用代理策略
app-proxy policy https_proxy
ssl-policy decrypt_https
ips-policy 你的IPS模板名称
url-filter-policy 你的URL过滤模板名称
file-filter-policy 你的文件过滤模板名称
rule 1 source any destination any service https action permit
# 4. 安全策略放行
security-policy
rule name allow-trust-untrust
source-zone trust
destination-zone untrust
service https
action permit
app-proxy enable policy https_proxy暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论