查看“SSLInspect”的源代码
←
SSLInspect
跳转至:
导航
、
搜索
因为以下原因,你没有权限编辑本页:
您所请求的操作仅限于该用户组的用户使用:
用户
您可以查看并复制此页面的源代码:
{{DISPLAYTITLE:SSL监控}} == SSL监控模块 == SSL监控模块用于对HTTPS网站、SSL邮件(SSL加密的SMTP、POP3、IMAP)的传输内容进行监控。配置了“SSL监控”功能后,您可以实现: * 记录HTTPS网页的URL地址、页面标题、网页粘贴内容(发帖内容)。 * 记录SSL邮件内容。 * 对SSL邮件进行黑白名单过滤。 * 对HTTPS内容进行过滤(比如:禁止HTTPS网站的下载格式、禁止HTTPS网站上传文件等)。 == SSL监控策略配置 == * 监控服务 ** Web:443端口的HTTPS通讯。 ** POP3:995端口的SSL POP3接收邮件。 ** IMAP:993端口的SSL IMAP接收邮件。 ** SMTP:465,587,994端口的SSL SMTP发送邮件。 ** 其他端口:需要监控的其他自定义端口。 * 远程IP,要进行SSL监控的远程地址,支持两种方式: ** 排除下列IP段,排除下表中的IP段或者域名。 ** 只包含下列IP段,只包含下表中的IP段或者域名。 ** 格式:每行一个IP段或者域名,如:192.168.1.100,192.168.1.0/24,172.10.0.0/16,*.google.com [[文件:sslinspector_01.png|800px]] == 证书配置 == * 该证书会用于在“SSL监控”中替换服务端的原始证书,用于SSL拦截。 * HTTPS监控启用时,客户端的浏览器会出现证书告警,您可以下载该证书并导入到客户机的“受信任的根证书颁发机构”,从而使客户机浏览器不再出现证书告警。 * 如果您想生成自己的证书,可以点击“修改证书”。 * 如果有现成的ca证书,可以点击“导入证书”来导入。导入的文件必须是zip格式,包含ca.crt和ca.key这两个文件。 [[文件:sslinspector_02.png|800px]] SSL监控基于中间人拦截的技术,会把原来的SSL访问重定向至WFilter的SSL服务,并且把替换掉原始的SSL证书,从而实现拦截和监控。该功能虽然可以解密SSL通讯,但是存在如下不足之处: * 性能和速度问题:由于WFilter NGF作为中间人进行拦截,必然会造成一定的延迟。参见:[[SSL_Performance|SSL监控性能测试]] * 证书警告,启用https监控时,浏览器会出现证书警告(SSL邮件监控没有此问题)。 可以下载该证书并导入到客户机的“受信任的根证书颁发机构”,从而使客户机浏览器不再出现证书告警。步骤如下: === HTTPS监控 === * 未安装证书时,会提示证书警告,可以选择“继续浏览此网站”继续浏览,访问的内容将被记录。 [[文件:Wfrecorder_cert_01.png|600px]] 如果需要去掉该告警信息,需要下载并导入证书,步骤如下。 * 下载证书 [[文件:ssl_inspector03.png|450px]] * 导入证书。双击ca.crt文件,点击“安装证书”,点击“下一步”,选择“将所有的证书放入下列存储”,并选择“受信任的根证书颁发机构”。 [[文件:Wfrecorder_cert_03.png|450px]] * 再次访问https站点,不再出现证书告警。 [[文件:Wfrecorder_cert_04.png|600px]] * 此次https访问的页面标题被记录。 [[文件:Wfrecorder_cert_05.png|600px]] === SSL邮件监控 === 邮件客户端配置一般有三种方式: * 不加密,无需启用“SSL邮件监控”即可直接记录。 * STARTTLS,无法实现监控,即使启用了“SSL监控”也不能记录。 * SSL/TLS(此链接需要SSL加密),必须启用“SSL监控”才可以记录。 以Mozilla Thunderbird为例: [[文件:Wfrecorder_ssl_01.png]] 请注意:如需记录https网站的web邮件,您需要对此网站启用“SSL监控”。 == 注意事项 == * 网银站点对https的安全要求比较高,建议不要对财务的IP开启SSL监控。 * 在网桥部署模式下启用SSL监控不支持Trunk(vlan tagged)端口,网桥所在端口必须是Access模式。 * 网关模式多wan口情况下,SSL监控的流量只走接口跃点数最低的wan口,不参与负载均衡。 * SSL监控的应用对象不能为“未分组用户”和虚拟组,必须是常规组。 * 一些app需要校验证书,导致app不能正常使用。这种情况,可以通过配置“排除下列IP段”来绕开该app需要连接的网站。
返回至
SSLInspect
。
导航菜单
个人工具
登录
命名空间
页面
讨论
变种
视图
阅读
查看源代码
查看历史
更多
搜索
导航
首页
最近更改
随机页面
帮助
技术支持
工具
链入页面
相关更改
特殊页面
页面信息