SSL监控
来自WFilter上网行为管理系统文档和指南
1 SSL监控模块
SSL监控模块用于对HTTPS网站、SSL邮件(SSL加密的SMTP、POP3、IMAP)的传输内容进行监控。配置了“SSL监控”功能后,您可以实现:
- 记录HTTPS网页的URL地址、页面标题、网页粘贴内容(发帖内容)。
- 记录SSL邮件内容。
- 对SSL邮件进行黑白名单过滤。
- 对HTTPS内容进行过滤(比如:禁止HTTPS网站的下载格式、禁止HTTPS网站上传文件等)。
2 SSL监控策略配置
- 监控服务
- Web:443端口的HTTPS通讯。
- POP3:995端口的SSL POP3接收邮件。
- IMAP:993端口的SSL IMAP接收邮件。
- SMTP:465,587,994端口的SSL SMTP发送邮件。
- 其他端口:需要监控的其他自定义端口。
- 远程IP,要进行SSL监控的远程地址,支持两种方式:
- 排除下列IP段,排除下表中的IP段或者域名。
- 只包含下列IP段,只包含下表中的IP段或者域名。
- 格式:每行一个IP段或者域名,如:192.168.1.100,192.168.1.0/24,172.10.0.0/16,*.google.com
3 证书配置
- 该证书会用于在“SSL监控”中替换服务端的原始证书,用于SSL拦截。
- HTTPS监控启用时,客户端的浏览器会出现证书告警,您可以下载该证书并导入到客户机的“受信任的根证书颁发机构”,从而使客户机浏览器不再出现证书告警。
- 如果您想生成自己的证书,可以点击“修改证书”。
- 如果有现成的ca证书,可以点击“导入证书”来导入。导入的文件必须是zip格式,包含ca.crt和ca.key这两个文件。
SSL监控基于中间人拦截的技术,会把原来的SSL访问重定向至WFilter的SSL服务,并且把替换掉原始的SSL证书,从而实现拦截和监控。该功能虽然可以解密SSL通讯,但是存在如下不足之处:
- 性能和速度问题:由于WFilter NGF作为中间人进行拦截,必然会造成一定的延迟。参见:SSL监控性能测试
- 证书警告,启用https监控时,浏览器会出现证书警告(SSL邮件监控没有此问题)。
可以下载该证书并导入到客户机的“受信任的根证书颁发机构”,从而使客户机浏览器不再出现证书告警。步骤如下:
3.1 HTTPS监控
- 未安装证书时,会提示证书警告,可以选择“继续浏览此网站”继续浏览,访问的内容将被记录。
如果需要去掉该告警信息,需要下载并导入证书,步骤如下。
- 下载证书
- 导入证书。双击ca.crt文件,点击“安装证书”,点击“下一步”,选择“将所有的证书放入下列存储”,并选择“受信任的根证书颁发机构”。
- 再次访问https站点,不再出现证书告警。
- 此次https访问的页面标题被记录。
3.2 SSL邮件监控
邮件客户端配置一般有三种方式:
- 不加密,无需启用“SSL邮件监控”即可直接记录。
- STARTTLS,无法实现监控,即使启用了“SSL监控”也不能记录。
- SSL/TLS(此链接需要SSL加密),必须启用“SSL监控”才可以记录。
以Mozilla Thunderbird为例:
请注意:如需记录https网站的web邮件,您需要对此网站启用“SSL监控”。
4 注意事项
- 网银站点对https的安全要求比较高,建议不要对财务的IP开启SSL监控。
- 在网桥部署模式下启用SSL监控不支持Trunk(vlan tagged)端口,网桥所在端口必须是Access模式。
- 网关模式多wan口情况下,SSL监控的流量只走接口跃点数最低的wan口,不参与负载均衡。
- SSL监控的应用对象不能为“未分组用户”和虚拟组,必须是常规组。
- 一些app需要校验证书,导致app不能正常使用。这种情况,可以通过配置“排除下列IP段”来绕开该app需要连接的网站。