Настройка фильтрации HTTPS
Фильтрация HTTPS-трафика обеспечивает возможность последующей обработки сайтов, доступных по HTTPS.
Last updated
Was this helpful?
Фильтрация HTTPS-трафика обеспечивает возможность последующей обработки сайтов, доступных по HTTPS.
Last updated
Was this helpful?
В Ideco NGFW фильтрация реализуется следующими методами:
Анализ заголовков Server Name Indication (SNI) - благодаря этому методу возможен анализ домена, к которому подключается клиент, без подмены сертификата и вмешательства в HTTPS-трафик. Также анализируются домены, указанные в сертификате. Фильтрация HTTPS по SNI включена по умолчанию.
Метод SSL-bump - фильтрация происходит путем динамической подмены сертификата сайта на корневой сертификат Ideco NGFW. Таким образом, передающийся по защищенному HTTPS-соединению трафик становится доступным для обработки всем модулям Ideco NGFW: антивирусу Касперского, внешним ICAP-сервисам и Контент-фильтру (можно категоризировать полный URL запроса и MIME-тип контента).
Для работы SSL-bump требуется настройка на обеих сторонах подключения: сервера Ideco NGFW и рабочей станции каждого пользователя в локальной сети.
Проблема
Решение
Включения расшифровки трафика может быть недостаточно для подмены сертификата некоторых сайтов (например, ya.ru
, google.com
).
Включить опцию Блокировать протоколы QUIC и HTTP/3 на вкладке Правила трафика -> Контент-фильтр -> Настройки.
Браузер не использует системное хранилище сертификатов.
1. Добавить сертификат Ideco NGFW в доверенные сертификаты браузера
2. В Mozilla Firefox присвоить параметру security.enterprise_roots.enabled
(в about:config) значение true
для доверия системным сертификатам.
На локальной машине используется антивирус, проверяющий HTTPS-трафик методом подмены сертификатов (сайты могут не открываться из-за двойной подмены сертификатов).
Отключить в настройках антивируса проверку HTTPS-трафика.
Включена SNI-фильтрация (сервер не пропускает по HTTPS-порту трафик, отличный от HTTPS).
Разрешить обход прокси-сервера к нужным ресурсам.
Блокировка HTTPS-ресурсов без отображения страницы блокировки.
Настроить доверие корневому SSL-сертификату NGFW (даже при включенной только SNI-фильтрации), так как при блокировке HTTPS-ресурса будет применен SSL-bumping с подстановкой SSL-сертификата NGFW для подмены контента ресурса страницей о его блокировке сервером.