“SSLInspect”的版本间的差异

2023年5月2日 (二) 14:17的最新版本

1 SSL监控模块

SSL监控模块用于对HTTPS网站、SSL邮件（SSL加密的SMTP、POP3、IMAP）的传输内容进行监控。配置了“SSL监控”功能后，您可以实现：

• 记录HTTPS网页的URL地址、页面标题、网页粘贴内容（发帖内容）。
• 记录SSL邮件内容。
• 对SSL邮件进行黑白名单过滤。
• 对HTTPS内容进行过滤（比如：禁止HTTPS网站的下载格式、禁止HTTPS网站上传文件等）。

2 SSL监控策略配置

• 监控服务
  • Web：443端口的HTTPS通讯。
  • POP3：995端口的SSL POP3接收邮件。
  • IMAP：993端口的SSL IMAP接收邮件。
  • SMTP：465,587,994端口的SSL SMTP发送邮件。
  • 其他端口：需要监控的其他自定义端口。
• 远程IP，要进行SSL监控的远程地址，支持两种方式：
  • 排除下列IP段，排除下表中的IP段或者域名。
  • 只包含下列IP段，只包含下表中的IP段或者域名。
  • 格式：每行一个IP段或者域名，如：192.168.1.100,192.168.1.0/24,172.10.0.0/16,*.google.com

3 证书配置

• 该证书会用于在“SSL监控”中替换服务端的原始证书，用于SSL拦截。
• HTTPS监控启用时，客户端的浏览器会出现证书告警，您可以下载该证书并导入到客户机的“受信任的根证书颁发机构”，从而使客户机浏览器不再出现证书告警。
• 如果您想生成自己的证书，可以点击“修改证书”。
• 如果有现成的ca证书，可以点击“导入证书”来导入。导入的文件必须是zip格式，包含ca.crt和ca.key这两个文件。

SSL监控基于中间人拦截的技术，会把原来的SSL访问重定向至WFilter的SSL服务，并且把替换掉原始的SSL证书，从而实现拦截和监控。该功能虽然可以解密SSL通讯，但是存在如下不足之处：

• 性能和速度问题：由于WFilter NGF作为中间人进行拦截，必然会造成一定的延迟。参见：SSL监控性能测试
• 证书警告，启用https监控时，浏览器会出现证书警告（SSL邮件监控没有此问题）。

可以下载该证书并导入到客户机的“受信任的根证书颁发机构”，从而使客户机浏览器不再出现证书告警。步骤如下：

3.1 HTTPS监控

• 未安装证书时，会提示证书警告，可以选择“继续浏览此网站”继续浏览，访问的内容将被记录。

如果需要去掉该告警信息，需要下载并导入证书，步骤如下。

• 下载证书

• 导入证书。双击ca.crt文件，点击“安装证书”，点击“下一步”，选择“将所有的证书放入下列存储”，并选择“受信任的根证书颁发机构”。

• 再次访问https站点，不再出现证书告警。

• 此次https访问的页面标题被记录。

3.2 SSL邮件监控

邮件客户端配置一般有三种方式：

• 不加密，无需启用“SSL邮件监控”即可直接记录。
• STARTTLS，无法实现监控，即使启用了“SSL监控”也不能记录。
• SSL/TLS（此链接需要SSL加密），必须启用“SSL监控”才可以记录。

以Mozilla Thunderbird为例：

请注意：如需记录https网站的web邮件，您需要对此网站启用“SSL监控”。

4 注意事项

• 网银站点对https的安全要求比较高，建议不要对财务的IP开启SSL监控。
• 在网桥部署模式下启用SSL监控不支持Trunk（vlan tagged）端口，网桥所在端口必须是Access模式。
• 网关模式多wan口情况下，SSL监控的流量只走接口跃点数最低的wan口，不参与负载均衡。
• SSL监控的应用对象不能为“未分组用户”和虚拟组，必须是常规组。
• 一些app需要校验证书，导致app不能正常使用。这种情况，可以通过配置“排除下列IP段”来绕开该app需要连接的网站。