Cisco Cisco Web Security Appliance S670 User Guide
11-3
思科网络安全设备 AsyncOS 8.8 用户指南
第 11 章 创建解密策略以控制 HTTPS 流量
解密策略
步骤 1
安全服务 (Security Services) > HTTPS 代理 (HTTPS Proxy),点击启用和编辑设置 (Enable
and Edit Settings)。
and Edit Settings)。
系统将显示 HTTPS 代理许可协议。
步骤 2
阅读 HTTPS 代理许可协议的条款,然后点击接受 (Accept)。
步骤 3
验证 “启用 HTTPS 代理” (Enable HTTPS Proxy) 字段是否已启用。
步骤 4
在 “HTTPS 代理端口” (HTTPS Ports to Proxy) 字段中,输入设备应检查以获取 HTTPS 流
量的端口。默认端口为端口 443。
量的端口。默认端口为端口 443。
注
网络安全设备可为其充当代理的最大端口数为 30,其中包括 HTTP 和 HTTPS。
步骤 5
上传或生成要用于解密的根证书/签名证书。
注
如果设备具有已上传的证书/密钥对和已生成的证书/密钥对,则其仅使用 “用于签名的根证书”
(Root Certificate for Signing) 部分中当前选择的证书/密钥对。
(Root Certificate for Signing) 部分中当前选择的证书/密钥对。
步骤 6
在 “HTTPS 透明请求” (HTTPS Transparent Request) 部分中,选择以下选项之一:
•
解密 HTTPS 请求并重定向以进行身份验证 (Decrypt the HTTPS request and redirect for
authentication)
authentication)
•
拒绝 HTTPS 请求 (Deny the HTTPS request)
此设置仅适用于使用 IP 地址作为身份验证代理的事务,并且仅在用户尚未进行身份验证时适用。
注
仅当在透明模式下部署设备时,才会显示此字段。
步骤 7
在“使用 HTTPS 的应用”(Applications that Use HTTPS) 部分中,选择是否启用解密以获得
增强的应用可视性与可控性。
增强的应用可视性与可控性。
注
除非在客户端上安装用于签名的根证书,否则解密可能会导致某些应用失败。有关设备根
证书的详细信息,请参阅。
证书的详细信息,请参阅。
步骤 8
提交并确认更改。
相关主题
•