文章插图
【解密HTTPS流量并识别加密的应用】
本示例介绍如何解密HTTPS流量并识别加密的应用,满足用户对应用细粒度管控的需求 。
如下图所示,内网用户访问HTTPS网站,流量被加密 。通过使用SSL代理和应用识别功能,设备解密HTTPS流量,并识别加密的应用 。
文章插图
步骤一:配置SSL代理Profile 。选择“策略 > SSL代理”,点击“新建” 。
在<基本配置>标签页,做如下配置:
- 名称:profile1
- 过期证书:解密
- 不支持的版本:阻断
- 不支持的加密算法:阻断
- 客户端认证:阻断
- 警告提示:启用
文章插图
步骤二:在安全策略中引用SSL代理Profile 。配置允许内网用户访问Internet的安全策略,并在策略的“高级配置”中引用SSL代理Profile 。
- SSL代理:勾选“启用”复选框,并在下拉菜单中选择“profile1” 。
文章插图
步骤三:导入设备证书到客户端Web浏览器从设备中导出证书 。
点击“系统 > PKI ” 。在<管理>标签页:
- 信任域: trust_domain_ssl_proxy
- 内容:CA证书
- 行为:导出
文章插图
导入证书到客户端Web浏览器 。
- 在Chrome浏览器中,点击“设置 > 显示高级设置” 。
- 在HTTPS/SSL部分,点击“管理证书 。”
- 在“受信任的根证书颁发机构”标签页,点击“导入” 。
- 按照向导提示将导出证书导入到浏览器 。
文章插图
步骤四:升级专业版应用特征库并开启应用识别 。在CLI中执行升级命令,将应用特征库升级到专业版 。
文章插图
选择“网络 > 安全域”,选中“untrust”并点击“编辑”,选中<基本配置>标签页 。
- 应用识别:勾选“启用”复选框 。
当内网用户访问HTTPS网站时,SSL代理功能对HTTPS流量进行解密,应用识别功能根据解密的HTTPS流量,细粒度地识别流量对应的应用 。
文章插图
推荐阅读
- 清汤、白汤、高汤、上汤、原汤都是怎么做的?全文解密
- 利用先进的反DDoS系统防御TB级流量攻击
- 经营私域流量需要突破两个关口
- 手机连接WiFi后,要不要关闭数据流量?中国移动给出了答案
- 淘宝怎样有流量 淘宝是怎么分配流量的
- 网站安全被dns劫持攻击及流量攻击详情分析
- DoH 如何在 Firefox 中启用 DNS-over-HTTPS
- centos7快速生成https证书
- 流量转化漏斗:App核心分析思路有哪些?
- 淘宝直播如何增加人气 如何提高淘宝直播间流量