SINFOR_AC_v2.0_SSL内容识别控制_20091216

admin管理员组

文章数量:1538180

2024年5月15日发(作者：)

SSL内容识别控制

目录

SSL内容识别控制 .................................................................................................................................................................................................................... 1

目录 .................................................................................................................................................................................................................................... 1

本文说明 ............................................................................................................................................................................................................................ 1

SSL内容识别原理 ............................................................................................................................................................................................................ 1

SSL内容识别配置方法 .................................................................................................................................................................................................... 2

SSL内容识别审计配置步骤 .................................................................................................................................................................................... 2

SSL内容识别控制的配置步骤 ................................................................................................................................................................................ 4

SSL内容识别功能使用注意事项 .................................................................................................................................................................................... 8

本文说明

AC2.0版本新增了对https、webmail、webbbs、pop3、smtp等采用SSL加密方式访问的网络服务的识

别跟控制。本文主要讲述如何配置跟使用该项功能，实现对这4类服务做应用审计和行为控制。

SSL内容识别原理

Webmail、webbbs等网络应用采用SSL加密方式访问的时候，主要是使用安全证书来实现身份效验以及

传输的加密，AC设备通过伪造安全证书，代理客户端的访问来实现对传输的加密信息进行识别，从而达到内容

的审计，以及行为的控制。

详细过程见下图：当内网PC端发起SSL连接请求的时候，设备会以代理服务器的身份，去代理SSL客户

端发出访问请求给SSL服务器，并以SSL客户端的身份跟SSL服务器完成交互后，AC再以SSL服务器的身份

回应内网PC的SSL访问请求。

在这整个过程中，设备既作为内网pc的SSL服务端存在，同时也作为外网SSL服务器的客户端存在。所

以，SSL客户端跟AC的交互过程是采用的AC证书进行数据加密的，而SSL服务器跟AC的交互过程是采用

SSL服务器证书来进行数据加密的。因此用户端看到的证书是来自于AC的，而并非来自于真实的SSL服务器。

SSL内容识别配置方法

SSL内容识别主要分为2个部分，一个是对SSL传输内容的识别审计，一个是对SSL传输内容的控制。其

中控制包括了网页过滤的关键字过滤、文件类型过滤、插件过滤跟脚本过滤，以及邮件过滤、外发文件告警、

危险行为识别这几种。

SSL内容识别审计配置步骤

SSL内容识别审计配置步骤：

第一步，启用SSL内容审计，如下图。

在用户上网策略中，【SSL管理】-【SSL内容识别】，勾选【启用SSL内容识别】，勾选【对SSL的传输内

容进行内容审计】，接着填写需要对哪个网站做SSL内容识别的审计，写上该网站的主域名即可，如果是对smtp

发送的邮件做审计，就填写上邮件服务器的域名。

注意：域名填写的时候是不支持*.*这种全匹配的格式的，同时也不支持填写ip地址。

本文标签： 内容识别过滤审计加密