Cisco Cisco Web Security Appliance S670 User Guide
11-2
思科网络安全设备 AsyncOS 8.8 用户指南
第 11 章 创建解密策略以控制 HTTPS 流量
通过解密策略管理 HTTPS 流量的最佳实践
通过解密策略管理 HTTPS 流量的任务概述
通过解密策略管理 HTTPS 流量的最佳实践
•
创建适用于网络上的所有用户或更少更大的用户组的更少更通用的解密策略组。然后,如果
需要对已解密的 HTTPS 流量应用更精细的控制,请使用更具体的访问策略组。
需要对已解密的 HTTPS 流量应用更精细的控制,请使用更具体的访问策略组。
解密策略
设备可以对 HTTPS 连接请求执行以下任何操作:
启用 HTTPS 代理
要监控和解密 HTTPS 流量,必须启用 HTTPS 代理。当启用 HTTPS 代理时,必须配置在设备
将自签名服务器证书发送到网络上的客户端应用时该设备对根证书使用的设置。可以上传贵组织
已有的根证书和密钥,也可以将设备配置为使用输入的信息生成证书和密钥。
将自签名服务器证书发送到网络上的客户端应用时该设备对根证书使用的设置。可以上传贵组织
已有的根证书和密钥,也可以将设备配置为使用输入的信息生成证书和密钥。
启用 HTTPS 代理之后,所有 HTTPS 策略决策都由解密策略进行处理。另外在此页面上,还可
以配置当服务器证书无效时设备如何处理 HTTPS 流量。
以配置当服务器证书无效时设备如何处理 HTTPS 流量。
准备工作
•
当启用 HTTPS 代理时,将会禁用访问策略中的 HTTPS 特定规则,并且 Web 代理使用用
于 HTTP 的规则来处理已解密的 HTTPS 流量。
于 HTTP 的规则来处理已解密的 HTTPS 流量。
步骤 通过解密策略管理 HTTPS 流量的任务列表
相关主题和程序的链接
1
启用 HTTPS 代理
2
上传或生成证书和密钥
•
•
3
配置解密选项
5
(可选)配置无效证书处理
6
(可选)启用实时吊销状态检查
7
(可选)管理受信任和受阻证书
选项
说明
监控
(Monitor)
(Monitor)
监控是一项中间操作,用于表明 Web 代理应根据其他控制设置继续评估事务以确
定最终应用哪个最终操作。
定最终应用哪个最终操作。
丢弃
(Drop)
(Drop)
设备丢弃连接,并且不将连接请求传递到服务器。设备不会通知用户它已丢弃
连接。
连接。
通过 (Pass
Through)
Through)
设备通过客户端和服务器之间的连接,而不检测流量内容。
解密
(Decrypt)
(Decrypt)
设备允许连接,但会检测流量内容。它解密流量并将访问策略应用于已解密的流
量,就如同它是明文 HTTP 连接一样。通过解密连接和应用访问策略,可以扫描
流量来查找恶意软件。
量,就如同它是明文 HTTP 连接一样。通过解密连接和应用访问策略,可以扫描
流量来查找恶意软件。