Mit SSL/TLS-Inspektionsregeln können Sie SSL- und TLS-Verbindungen über TCP abfangen und entschlüsseln und so XG Firewall ermöglichen, sichere Verbindungen zwischen Clients und Webservern zu erzwingen.
Die SSL/TLS-Inspektion ermöglicht es, Schadprogramme zu verhindern, die über verschlüsselte Verbindungen übertragen werden.
Sie können richtliniengesteuerte Verbindungen und Entschlüsselung für eingehenden und ausgehenden SSL/TLS-Datenverkehr auf Basis des Verkehrs und der Risikoeinstufung durchführen.
SSL/TLS-Inspektionsregeln haben keinen Einfluss auf die Entschlüsselung des vom Web-Proxy gehandhabten Datenverkehrs. Sie legen die Webfilterung-Methode (Web-Proxy oder DPI-Modul) in Firewallregeln fest. Standardmäßig verwendet XG Firewall das DPI-Modul, wobei die SSL/TLS-Inspektionsregeln auf den Datenverkehr angewendet werden, der den Firewallregel-Kriterien entspricht.
Klicken Sie auf Weitere Optionen , um die folgenden Aktionen durchzuführen:
Um die Position einer Regel zu ändern, ziehen Sie sie mit dem Regelgriff () an die gewünschte Position. XG Firewall wertet Regeln von oben nach unten aus, bis sie eine Übereinstimmung findet. Sobald sie eine Übereinstimmung für das Paket findet, wertet sie nachfolgende Regeln nicht mehr aus. Positionieren Sie die spezifischen Regeln über den weniger spezifischen Regeln.
SSL/TLS-Inspektion erkennt SSL/TLS-Datenverkehr auf jedem TCP-Port. Inspektionsregeln gelten für erkannte SSL/TLS-Verbindungen. Sie können Regeln für die Entschlüsselung des Datenverkehrs basierend auf Quelle, Ziel, Benutzern und Gruppen, Diensten, Websites und Webkategorien festlegen. Um wirksam zu werden, muss die Regel mit allen Kriterien übereinstimmen.
Sie müssen für jede Regel ein Entschlüsselungsprofil auswählen, um eine Aktion für Datenverkehr mit Problemen festzulegen, z.B. unsichere Protokollversionen, SSL-Komprimierung, nicht erkannte Verschlüsselungssammlungen, zu sperrende Verschlüsselungsalgorithmen, Zertifikatsfehler oder Verbindungen, die die Entschlüsselungsfähigkeiten der Firewall überschreiten. Nach der Entschlüsselung und Inspektion des Datenverkehrs verschlüsselt XG Firewall den Datenverkehr mit der von Ihnen angegebenen Zertifizierungsstelle für die erneute Signierung neu.
Sie können SSL/TLS-Inspektionsregeln in den folgenden Fällen verwenden:
XG Firewall bietet eine Standard-Ausschlussregel Ausschlüsse nach Website oder Kategorie, die verhindert, dass Verbindungen zu bestimmten Websites entschlüsselt werden. Die Maßnahme der Regel ist auf Nicht entschlüsseln gesetzt und das Entschlüsselungsprofil auf Maximale Kompatibilität.
Die Regel befindet sich stets ganz oben in der SSL/TLS-Inspektionsregeltabelle. SSL/TLS-Inspektionsregeln werden in der Regeltabelle von oben nach unten ausgewertet.
Die Ausschlussregel enthält die folgenden Standard-Ausschlusslisten:
Websites und Browser, die Zertifikat-Pinning verwenden, sperren die angeforderte Seite vollständig oder teilweise, wenn SSL/TLS-Inspektion aktiviert ist. Wenn eine Fehlermeldung angezeigt wird, wird möglicherweise kein erkennbarer Grund angezeigt. Wenn Sie SSL/TLS-Inspektion umgehen wollen, können Sie die lokale TLS-Ausschlussliste verwenden, um die Domänen auf eine Positivliste zu setzen.
Sie können Webkategorien, URL-Gruppen, Benutzer, Quell- und Ziel-IP-Adressen und Netzwerke ausschließen, indem Sie Ihre eigenen Ausschlussregeln erstellen und diese direkt unter der Standardregel platzieren. Fügen Sie nur Verbindungen zu einer Ausschlussregel hinzu, die Sie nicht durch andere SSL/TLS-Inspektionsregeln entschlüsseln wollen.
SSL/TLS-Inspektionsregeln werden unabhängig von Firewallregeln angewendet. Inspektionsregeln wenden die festgelegten Ausschlüsse weiterhin an, auch wenn Sie keine Internetrichtlinie in Firewallregeln auswählen.
Sie können sowohl Web-Ausnahmen als auch SSL/TLS-Ausschlussregeln verwenden, um die Entschlüsselung von Verbindungen zu verhindern. Einzelheiten zu den Unterschieden bei der Durchführung von Ausnahmen im Zusammenhang mit der HTTPS-Entschlüsselung finden Sie in der folgenden Tabelle:
SSL/TLS-Ausschlussliste |
Web-Ausnahme |
|
---|---|---|
Prozesse, die Sie ausschließen können |
HTTPS-Entschlüsselung HTTPS-Zertifikat und Protokolldurchsetzung |
HTTPS-Entschlüsselung HTTPS-Zertifikat-Validierung Schadprogramm- und Inhaltsscans Sandstorm Überprüfung von Internetrichtlinien |
Gilt in diesem Modus |
DPI-Modus |
DPI-Modus Proxy-Modus |
Gilt für diesen Datenverkehr |
SSL/TLS-Verbindungen auf beliebigem Port. |
DPI-Modus: SSL/TLS-Verbindungen auf beliebigem Port. Proxy-Modus: SSL/TLS-Verbindungen auf Port 443. |
Abgleichkriterien |
URL-Gruppe, die eine Liste von Websites (Domänennamen) im Klartext enthält. Enthält die Unterdomänen dieser Domänen. |
URL-Musterübereinstimmungen mit regulären Ausdrücken. |
Webkategorien Quell- und Zielzonen, Netzwerke und IP-Adressen Dienste Benutzer und Gruppen |
Webkategorien Quell- und Ziel-IP-Adressen und IP-Bereiche |
|
Wo die Ausnahme hinzugefügt werden soll |
Fügen Sie Domänen und Unterdomänen zur Lokale TLS-Ausschlussliste hinzu, indem Sie die Fehlerbehebung im Kontrollzentrum oder in der Protokollansicht durchführen. Gehen Sie zu und fügen Sie Websites zu einer URL-Gruppe hinzu, die von einer Ausschlussregel verwendet wird.Erstellen oder bearbeiten Sie SSL/TLS-Inspektionsregeln. |
Zu hinzufügen. |
Diese Einstellungen gelten für alle SSL/TLS-Inspektionsregeln. Sie können Zertifizierungsstellen für erneute Signierungen (Cas) festlegen sowie Maßnahmen für Verkehr, der nicht entschlüsselt wird, und die TLS-Downgrade-Einstellung. Mit den Inspektionseinstellungen können Sie auch die SSL/TLS-Inspektion deaktivieren, um auf Fehlersuche zu gehen.
Das Entschlüsselungsprofil, das Sie einer Inspektionsregel hinzufügen, überschreibt die Prüfungseinstellungen.
XG Firewall wendet zuerst die Firewallregeln und dann die SSL/TLS-Inspektionsregeln an. Sie wendet die Inspektionsregeln im transparenten Modus auf der Grundlage der Web-Proxy-Auswahl an, die Sie in der Firewallregel treffen.
Transparenzmodus Wenn Sie in der Firewallregel Entschlüsselung und Scannen durch Web-Proxy ausgewählt haben, wird der Verkehr auf den Ports 80 und 443 durch den Web-Proxy entschlüsselt. SSL/TLS-Inspektionsregeln werden dann nur für Internetverkehr auf anderen Ports durchgeführt.
Die SSL/TLS-Inspektion verwendet die in SSL/TLS-Inspektionseinstellungen und Entschlüsselungsprofile angegebenen Zertifikate.
Um zu sehen, ob SSL/TLS-Verbindungen das Entschlüsselungslimit überschritten haben, gehen Sie zu Kontrollzentrum, und wählen Sie das Widget SSL/TLS-Verbindungen aus.
Um SSL/TLS-Fehler zu beheben, gehen Sie zu Kontrollzentrum, wählen Sie das Widget SSL/TLS-Verbindungen aus und wählen Sie Fehler beheben in der oberen rechten Ecke aus.