添加 HTTPS 例外 父主题

下一代应用安全网关可通过解密和检查所有加密的网络通信来关闭 HTTPS 安全漏洞。管理员可以允许客户端访问指定 URL 类别或源 IP 地址的所有 HTTPS 网络通信,方法是将这些类别和地址添加到 HTTPS 检查例外列表中。解密后,会按已应用 URL 过滤和扫描规则的 HTTP 网络通信的相同方式处理数据。解密数据在下一代应用安全网关服务器的内存中仍处于完全安全状态。在离开下一代应用安全网关服务器之前,会对数据进行加密,以使其可以安全通过客户端的浏览器。
对于网络通信过滤,下一代应用安全网关首先会根据主机名从本地特征码或本地缓存中查询 URL 类别。如果本地特征码或本地缓存中没有这种类别,则不会解密此连接。要确定是否要对网络通信进行解密,另一个线程会同时发出趋势科技 URL 过滤引擎 (TMUFE) 查询并将结果放到本地缓存中。当将来某个用户访问同一站点时,下一代应用安全网关会将解密策略与在本地缓存中查询的类别进行匹配。

过程

  1. 转到策略 HTTPS 检查 常规设置
  2. 选择启用 HTTPS 通信检查
  3. 在“URL 类别例外”下,搜索或指定要允许的特定 URL 类别。有关可用 URL 类别的完整描述,请参阅关于 URL 类别对象
  4. 要添加服务器主机名,请单击添加服务器主机名
    此时将会显示黑/白名单窗口。有关管理允许的和阻止的 URL 的详细信息,请参阅关于 URL 黑/白名单
  5. 在“源地址例外”下,单击新增以指定所有客户端可以使用 HTTPS 连接进行访问的 IP 地址。
    将显示添加/编辑窗口。
  6. 指定名称、协议和所有要允许的 IP 地址,然后单击确定
    此时会将新源添加到列表中。
  7. 选择下一代应用安全网关不会检查的新源地址。
  8. 单击确定
    现在,将不会检查指定 URL 类别、服务器或源地址的所有 HTTPS 网络通信。