fortigate

[fortigate]SSL /SSH深層檢查

SSL 檢查和應用程式管控是因應現在多數流量都開始走https流量,這時候防火牆就沒辦法知道流量內容,所以除非啟用了完整的SSL檢查,否則病毒透過加密流量依樣可以進到你的內部網路來

所以你可以在你的fortigate的資安管理設定(Security Profiles)->SSL/SSH深層檢查(SSL/SSH Insprection)

這邊可以來編輯既有預設的幾個範例,也可以新增自己的範例,名稱寫SSL/SSH是代表除了網頁https的SSL加密可以檢查之外,其他的像是SSH這種加密也是可以檢查的,不過fortigate需要私鑰來解密跟檢查SSL流量,所以他會置換掉你的CA憑證

[功能]啟用SSL掃描

  • 多用戶端連線到多伺服器-就是你防火牆底下很多用戶會連到外部眾多的網站
  • 保護SSL伺服器-通常是給你內部有網站,要給外面的人連進來

[功能]檢查方法

  • SSL憑證檢查-只檢查連線的憑證有沒有問題、格式錯誤、或是正確、撤銷等等
  • 完整SSL檢查-就是要檢查應用層連線的內容

[功能]CA憑證

預設會給一個fortinet自己簽的憑證,會建議更換自己重新簽過的憑證使用

[功能]不受信任的SSL憑證

  • 允許-遇到伺服器憑證可能是自己簽的,不受信任時,fortigate也會向下面的瀏覽器發送一個不受信任憑證下去,而不會用上面我們核可的CA憑證,通常我們會選她
  • 封鎖-就封鎖,但是怕真的遇到有些網站是憑證自己簽的被擋掉,你的使用者就會來煩你了
  • 忽略-即使伺服器憑證不受信任,仍然向瀏覽器發送受信任的憑證(就是上面那張你自己重新簽的),等於瀏覽器永遠都會收到正確的這張就是
所以只要開啟了完整SSL檢查,你的fortigate為了要看到你的流量,就會重新簽過。這時候你上網的瀏覽器看到的憑證就不再會是原來的憑證,而是你fortigate簽屬過的憑證,所以你防火牆底下的電腦要記得都要匯入你放在fortigate上的那張憑證,不然你的使用者上任何網站應該都會跳https錯誤

預設SSL範本

系統上預設就先設定好以下四種SSL範本了,你可以直接拿來用

  • certificate-inspection-只檢查憑證是否正確而已
  • custom-deep-inspection-給你客製化的範本
  • deep-inspection-會做憑證檢查、解密動作
  • no-inspection-完全不做檢查

架設網站給外面的人連進來

當你環境有需要架設網站給外面訪客連進來你伺服器時,這時候你啟用SSL掃描這個就要改成選保護SSL伺服器,讓外面的人連進來的流量跟攻擊也可以識別。

設定方法如下,要注意的是server憑證這一個就最好不要自己簽了,要用外面的,憑證要怎設定跟新增可以參考[fortigate]新增上傳憑證 for web server用

環境說明:fortigate 60E

Forti OS:V7.2.2 build1255

延伸閱讀:[fortigate]SSL deep inspection在google沒作用

Be the First to comment.

Leave a Comment

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

(若看不到驗證碼,請重新整理網頁。)