SSL代理配置举例

本节提供一个SSL代理配置实例。

某企业通过安全网关接入Internet，接口ethernet0/0属于untrust安全域，接入Internet；ethernet0/1属于trust安全域，连接内网的研发部门；ethernet0/3属于trust1安全域，连接内网的市场部门。在安全网关上配置SSL代理功能，并结合邮件过滤功能阻止公司员工通过Gmail邮箱发送含有“X”词汇的邮件，并进行日志记录。

组网图如下：

实例中接口、安全域及日志输出等部分配置请参考相关章节，本节重点介绍SSL代理和邮件过滤功能相关配置。

请按照以下步骤进行配置：

第一步：将安全网关证书导入到客户端PC的Web浏览器（以Internet Explorer为例）。

1. 导出设备证书到TFTP服务器。

hostname# export pki trust_domain_ssl_proxy pkcs12-der xgfn321456 to tftp server 10.101.10.2 Done: the PKCS#12 of trust-domain named <trust_domain_ssl_proxy> Export ok,target filename 1252639478 hostname#

2. 导入证书到客户端PC浏览器。在Internet Explorer中选择“工具>Internet选项>内容>证书>受信任的根证书颁发机构”。点击列表下方的『导入』按钮，弹出<证书导入向导>，按照向导提示将安全网关证书导入到浏览器。参见下图：
   
   

第二步：获取Gmail站点证书的CommonName字段。

1. 从WebUI页面左侧导航树选择并点击“配置控制网页关键字/Web外发信息/邮件过滤”，进入功能页面。
2. 从页面右侧辅助栏的<任务>区选择『SSL代理』链接，弹出<SSL代理>对话框。
3. 选中<HTTPS访问审计>对应的<启用>复选框。
4. 在<审计内容>部分指定审计方式为“只审计下表指定网站”，但不添加审计网站。
5. 在<审计用户>部分指定审计用户。
6. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。
7. 在Web浏览器中访问“www.gmail.com”。
8. 从WebUI页面左侧导航树选择并点击“日志攻击安全日志”，进入安全日志页面。在<安全日志列表>中查看网站证书的CommonName字段，如下图所示：
   
   从列表中可以看到www.gmail.com网站证书Subject字段的CommonName字段为“www.google.com”、“*.mail.google.com”、“*.google.com”、“www.googleadservices.com”、“*.google-analytics.com”和“mail.google.com”。

第三步：配置SSL代理。

1. 从WebUI页面左侧导航树选择并点击“配置控制网页关键字/Web外发信息/邮件过滤”，进入功能页面。
2. 从页面右侧辅助栏的<任务>区选择『SSL代理』链接，弹出<SSL代理>对话框。
3. 选中<HTTPS访问审计>对应的<启用>复选框。
4. 在<审计方式>下拉菜单中选中“审计下表指定网站”。
5. 在<审计网站>文本框中输入Gmail证书Subject字段的CommonName字段“www.google.com”，然后点击『添加』按钮。
6. 按照步骤5，将“第二步：获取Gmail网站证书的CommonName字段”中所获取的其它CommonName字段添加到网站列表。
7. 在<选项>部分，点击<审计用户>对应的『设置』链接，弹出<审计用户配置>对话框。
8. 在<审计方式>下拉菜单中选中“只审计下表指定用户”。
9. 在<配置类型>部分选中<源地址>单选按钮，指定<用户类型>为“地址簿”，并在<地址簿>下拉菜单中选中“Any”，然后点击『添加』按钮。
10. 点击『确定』按钮，保存所做配置并返回<SSL代理>对话框。
11. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

第四步：配置邮件过滤规则。

1. 从页面左侧导航树选择并点击“配置控制邮件过滤”，进入邮件过滤页面。
2. 点击『新建』按钮，弹出<邮件过滤规则配置>对话框。
3. 指定规则名称以及控制条件。选项配置如下：
   • 名称：gmailcontrol
   • 目的安全域：untrust
   • 用户：any
   • 时间表：无
4. 在<控制类型>部分选中<指定邮件控制内容>单选按钮。
5. 在滑出的<控制动作>部分选中<阻断/审计邮件内容>复选框，并点击『邮件内容』链接，弹出<邮件内容>对话框。
6. 点击对话框中的『新建』按钮，弹出<关键字类别>对话框。
7. 指定关键字类别名称，然后点击『新建』按钮，在对话框的滑出区域配置关键字。选项配置如下：
   • 类别名称：gmail-keyword
   • 关键字：在文本框中输入“X”，在下拉菜单中选中“完全匹配”
   • 信任值：100，点击『添加』按钮
8. 点击『确定』按钮，保存所做配置并返回<邮件内容>对话框。
9. 选中关键字类别列表中“gmail-keyword”对应的<阻止发送>和<记录日志>复选框。
10. 点击『确定』按钮，保存所做配置并返回<邮件过滤规则配置>对话框。
11. 点击『受控邮箱』按钮，弹出<受控邮箱>对话框。
12. 选中<Web邮箱>部分的<gmial>复选框。
13. 点击『确定』按钮，保存所做配置并返回<邮件过滤规则配置>对话框。
14. 点击『确定』按钮，保存所做配置并返回上一级对话框/页面。

配置完成后，请修改邮件过滤策略规则的优先级，确保流量优先匹配此策略规则。生效后，系统会阻止公司员工通过Gmail邮箱发送含有“X”词汇的邮件，并对发送行为进行日志记录。