本示例介紹如何解密HTTPS流量并識別加密的應用,滿足用戶對應用細粒度管控的需求。
如下圖所示,內網用戶訪問HTTPS網站,流量被加密。通過使用SSL代理和應用識別功能,設備解密HTTPS流量,并識別加密的應用。
步驟一:配置SSL代理Profile。
選擇“策略 > SSL代理”,點擊“新建”。
在<基本配置>標簽頁,做如下配置:
- 名稱:profile1
- 過期證書:解密
- 不支持的版本:阻斷
- 不支持的加密算法:阻斷
- 客戶端認證:阻斷
- 警告提示:啟用
步驟二:在安全策略中引用SSL代理Profile。
配置允許內網用戶訪問Internet的安全策略,并在策略的“高級配置”中引用SSL代理Profile。
- SSL代理:勾選“啟用”復選框,并在下拉菜單中選擇“profile1”。
步驟三:導入設備證書到客戶端Web瀏覽器
從設備中導出證書。
點擊“系統 > PKI ”。在<管理>標簽頁:
- 信任域: trust_domain_ssl_proxy
- 內容:CA證書
- 行為:導出
點擊“確定”,導出證書。
導入證書到客戶端Web瀏覽器。
- 在Chrome瀏覽器中,點擊“設置 > 顯示高級設置”。
- 在HTTPS/SSL部分,點擊“管理證書。”
- 在“受信任的根證書頒發機構”標簽頁,點擊“導入”。
- 按照向導提示將導出證書導入到瀏覽器。
步驟四:升級專業版應用特征庫并開啟應用識別。
在CLI中執行升級命令,將應用特征庫升級到專業版。
選擇“網絡 > 安全域”,選中“untrust”并點擊“編輯”,選中<基本配置>標簽頁。
- 應用識別:勾選“啟用”復選框。
步驟五:查看應用監控。
點擊“監控 > 應用監控 > 應用詳情”。
當內網用戶訪問HTTPS網站時,SSL代理功能對HTTPS流量進行解密,應用識別功能根據解密的HTTPS流量,細粒度地識別流量對應的應用。
