SSL监控

来自WFilter上网行为管理系统文档和指南
跳转至: 导航搜索

1 SSL监控模块

SSL监控模块用于对HTTPS网站、SSL邮件(SSL加密的SMTP、POP3、IMAP)的传输内容进行监控。配置了“SSL监控”功能后,您可以实现:

  • 记录HTTPS网页的URL地址、页面标题、网页粘贴内容(发帖内容)。
  • 记录SSL邮件内容。
  • 对SSL邮件进行黑白名单过滤。
  • 对HTTPS内容进行过滤(比如:禁止HTTPS网站的下载格式、禁止HTTPS网站上传文件等)。

2 SSL监控策略配置

  • 监控服务
    • Web:443端口的HTTPS通讯。
    • POP3:995端口的SSL POP3接收邮件。
    • IMAP:993端口的SSL IMAP接收邮件。
    • SMTP:465,587,994端口的SSL SMTP发送邮件。
    • 其他端口:需要监控的其他自定义端口。
  • 远程IP,要进行SSL监控的远程地址,支持两种方式:
    • 排除下列IP段,排除下表中的IP段或者域名。
    • 只包含下列IP段,只包含下表中的IP段或者域名。
    • 格式:每行一个IP段或者域名,如:192.168.1.100,192.168.1.0/24,172.10.0.0/16,*.google.com

Sslinspector 01.png

3 证书配置

  • 该证书会用于在“SSL监控”中替换服务端的原始证书,用于SSL拦截。
  • HTTPS监控启用时,客户端的浏览器会出现证书告警,您可以下载该证书并导入到客户机的“受信任的根证书颁发机构”,从而使客户机浏览器不再出现证书告警。
  • 如果您想生成自己的证书,可以点击“修改证书”。
  • 如果有现成的ca证书,可以点击“导入证书”来导入。导入的文件必须是zip格式,包含ca.crt和ca.key这两个文件。

Sslinspector 02.png

SSL监控基于中间人拦截的技术,会把原来的SSL访问重定向至WFilter的SSL服务,并且把替换掉原始的SSL证书,从而实现拦截和监控。该功能虽然可以解密SSL通讯,但是存在如下不足之处:

  • 性能和速度问题:由于WFilter NGF作为中间人进行拦截,必然会造成一定的延迟。参见:SSL监控性能测试
  • 证书警告,启用https监控时,浏览器会出现证书警告(SSL邮件监控没有此问题)。

可以下载该证书并导入到客户机的“受信任的根证书颁发机构”,从而使客户机浏览器不再出现证书告警。步骤如下:

3.1 HTTPS监控

  • 未安装证书时,会提示证书警告,可以选择“继续浏览此网站”继续浏览,访问的内容将被记录。

Wfrecorder cert 01.png

如果需要去掉该告警信息,需要下载并导入证书,步骤如下。

  • 下载证书

Ssl inspector03.png

  • 导入证书。双击ca.crt文件,点击“安装证书”,点击“下一步”,选择“将所有的证书放入下列存储”,并选择“受信任的根证书颁发机构”。

Wfrecorder cert 03.png

  • 再次访问https站点,不再出现证书告警。

Wfrecorder cert 04.png

  • 此次https访问的页面标题被记录。

Wfrecorder cert 05.png

3.2 SSL邮件监控

邮件客户端配置一般有三种方式:

  • 不加密,无需启用“SSL邮件监控”即可直接记录。
  • STARTTLS,无法实现监控,即使启用了“SSL监控”也不能记录。
  • SSL/TLS(此链接需要SSL加密),必须启用“SSL监控”才可以记录。

以Mozilla Thunderbird为例:

Wfrecorder ssl 01.png

请注意:如需记录https网站的web邮件,您需要对此网站启用“SSL监控”。

4 注意事项

  • 网银站点对https的安全要求比较高,建议不要对财务的IP开启SSL监控。
  • 在网桥部署模式下启用SSL监控不支持Trunk(vlan tagged)端口,网桥所在端口必须是Access模式。
  • 网关模式多wan口情况下,SSL监控的流量只走接口跃点数最低的wan口,不参与负载均衡。
  • SSL监控的应用对象不能为“未分组用户”和虚拟组,必须是常规组。
  • 一些app需要校验证书,导致app不能正常使用。这种情况,可以通过配置“排除下列IP段”来绕开该app需要连接的网站。