SSL代理配置举例

本节提供一个SSL代理配置实例。

某企业通过安全网关接入Internet，接口ethernet0/0属于untrust安全域，接入Internet；ethernet0/1属于trust安全域。在安全网关上配置SSL代理功能，并结合上网行为管理功能对公司所有通过Gmail邮箱发送的SSL加密邮件进行行为、内容和附件日志记录。

组网图如下：

实例中接口、安全域及日志输出等部分配置请参考相关章节，本节重点介绍SSL代理和上网行为管理策略规则相关配置。

请按照以下步骤进行配置：

第一步：将安全网关证书导入到客户端PC的Web浏览器（以Internet Explorer为例）。

1. 导出安全网关证书。请使用以下命令行完成此配置。

命令行： export pki trust-domain-name {cacert | cert | pkcs12 password | pkcs12-der password} to {ftp server ip-address [user user-name password password] | tftp server ip-address | usb0 | usb1} [file-name] 示例： hostname# export pki trust_domain_ssl_proxy pkcs12-der xgfn321456 to tftp server 10.101.10.2 Done: the PKCS#12 of trust-domain named <trust_domain_ssl_proxy> Export ok,target filename 1252639478 hostname#

2. 导入证书到客户端PC浏览器。在Internet Explorer中选择“工具>Internet选项>内容>证书>受信任的根证书颁发机构”。点击列表下方的『导入』按钮，弹出<证书导入向导>，按照向导提示将安全网关证书导入到浏览器。参见下图：
   
   

第二步：获取Gmail站点证书的CommonName字段。

1. 在Internet Explorer中访问站点www.gmail.com。然后点击地址栏URL后的锁型按钮。参见下图：
   
2. 点击<查看证书>，弹出<证书>对话框。参见下图：
   
3. 点击<详细信息>标签，在显示所有列表中选中<主题>，在列表下方的信息框中可以看到“CN=www.google.com”。参见下图：
   
   所以，www.google.com即为www.gmail.com站点证书Subject字段的CommonName字段。

第三步：配置SSL证书匹配方式。

1. 访问页面“防火墙SSL代理”。
2. 选中<采用此列表内证书加密的通信做代理处理，其它证书加密的通信不做代理>单选按钮，然后在对应的文本框中输入Gmail证书Subject字段的CommonName字段“www.google.com”，然后点击『添加』按钮。

第四步：配置上网行为管理策略规则（上网行为管理策略规则必须在全局策略模式下配置 ）。

1. 访问“上网行为策略”，进入上网行为管理策略列表页面。
2. 点击『全局策略』按钮，然后重启设备，将系统策略模式转换为全局策略模式。
3. 从<目的安全域>下拉菜单选择“untrust”，然后点击『新建』按钮，进入策略规则配置页面。选项配置如下：

• 目的安全域：untrust
• 策略名称：gmailcontrol
• 用户：any
• 时间表：无
• SSL代理：选中<启用>复选框

3. 点击策略规则配置页面<菜单>列表中的“邮件控制”选项，在<启用邮件控制>部分进行如下配置：

• 启用邮件控制：选中对应复选框
• 行为：审计模式
• 发件人：点击『添加』按钮，在文本框中输入“*@gmail.com”，点击『确认』按钮
• Webmail控制：选中＜gmail＞复选框
• 日志记录：从下拉菜单中选中“日志，内容和附件”

4. 点击『确认』按钮。

配置生效后，系统会对公司内所有通过Gmail邮箱外发的邮件内容和附件及发送行为进行日志记录。