您可以為入侵防護模組啟用Advanced TLS traffic inspection。
 |
注意高級 TLS 流量檢查和 SSL 檢查不支援壓縮流量。
|
如需入侵防護模組的防護總覽,請參閱使用入侵防護封鎖利用嘗試。
啟用進階 TLS 流量檢查
先進的 TLS 流量檢查比傳統的 SSL 檢查實作提供了一些優點:
- 消除手動配置TLS憑證的需求
- 支持比 SSL 檢查更多的加密套件,包括完全前向保密 (PFS) 加密套件
請參閱 支援的密碼套件 以獲取支援的密碼完整列表。
當入侵防護模組啟動時,進階 TLS 流量檢查會預設啟用。您可以透過檢視政策屬性來驗證此功能的狀態:。
使用進階 TLS 流量檢查來檢查流量
高級 TLS 流量檢查不需要配置即可運行。目前僅支援 Windows 和 Linux 平台上的輸入流量。詳情請參閱 各平台支援的功能 主題。
在 Windows 上,高級 TLS 流量檢查僅支援使用 Windows 原生 TLS 通訊通道(安全通道)的流量。例如,由以下應用程式產生的流量:
- IIS
- Microsoft Exchange
- 遠端桌面通訊協定 (RDP)
在 Linux 上,高級 TLS 流量檢查僅支援流行的網路應用程式的流量:NGINX、Apache HTTP Server 和 HAProxy。
|
注意如果您需要檢查不受進階 TLS 流量檢查支援的 TLS 流量,或其他作業系統上的 TLS 流量,您可以配置傳統的 SSL 檢查。
|
配置 SSL 檢查(舊版)
您可以在受保護的電腦防護的一个或多个介面上為給定的憑證-端口對配置SSL檢查。
憑證可以以 PKCS#12 或 PEM 格式匯入。憑證檔案必須包含私鑰。Windows 電腦可以直接使用 CryptoAPI。
-
在 Server & Workload Security保護 主控台中,選擇要配置的電腦防護並點選 詳細資訊 以開啟電腦防護編輯器。
-
在電腦防護編輯器的左窗格中,點選 並點選 View SSL Configurations 以開啟 SSL 電腦防護設定視窗。
-
點選 New 以開啟 SSL 設定精靈。
-
指定要在此電腦防護上應用配置的介面:
- 要將其應用於此電腦防護上的所有介面,請選擇All Interface(s)。
- 要應用到特定介面,請選擇Specific Interface(s)。
-
選擇 Port(s) 或 Ports List 並選擇一個列表,然後點選 下一步。
-
在 IP 選擇畫面上,選擇 All IPs 或提供一個 Specific IP 來執行 SSL 檢查,然後點選 下一步。
-
在憑證畫面上,選擇如何提供憑證:
-
I will upload credentials now
-
The credentials are on the computer
注意
憑證檔案必須包含私鑰。
-
-
如果您選擇立即上傳憑證,請輸入其類型、位置資訊和密碼短語(如果需要)。如果憑證在電腦防護上,請提供憑證詳細資訊。
- 如果您使用儲存在電腦防護上的PEM或PKCS#12憑證格式,請識別憑證檔案的位置資訊和檔案的密碼短語(如果需要)。
- 如果您使用的是 Windows CryptoAPI 憑證,請從電腦防護中找到的憑證列表中選擇憑證。
-
為此配置提供名稱和描述。
-
檢閱摘要並關閉 SSL 設定精靈。閱讀設定操作的摘要,然後點選 Finish 以關閉精靈。
更改埠設定
更改電腦的埠設定,以確保代理程式在已啟動 SSL 的埠上執行適當的入侵防護過濾。您所做的更改將應用於代理程式電腦上的特定應用程式類型,例如 Web 伺服器通用。這些更改不會影響其他電腦上的應用程式類型。
- 前往電腦詳細資料視窗中的入侵防護規則,查看應用於此電腦的入侵防護規則列表。
- 按Application Type排序規則並找到 "Web 伺服器常見" 應用程式類型。(您也可以對類似的應用程式類型進行這些更改。)
- 在應用程式類型中右鍵點選一個規則,然後點選Application Type Properties。
- 覆寫繼承的 "HTTP" 埠列表,以包含您在 SSL 配置設置期間定義的埠以及埠 80。請以逗號分隔的值輸入這些埠。例如,如果您在 SSL 配置中使用埠 9090,請輸入 9090, 80。
- 為了提升效能,請在Configuration標籤上取消選取Inherited and Monitor responses from Web Server。
- 點選確定以關閉對話框。
當流量使用完美前向保密 (PFS) 進行已加密時,請使用入侵防護
完全前向保密 (PFS) 可用於建立一個即使在伺服器的私鑰在之後被洩露也無法被解密的通訊通道。由於完全前向保密的目的是防止會話結束後的解密,它也會阻止入侵防護模組通過 SSL 檢查查看流量。
|
注意使用進階 TLS 流量檢查功能,入侵防護模組將能夠在不需額外配置的情況下分析使用 PFS 密碼已加密的流量。
|
若要改用 PFS 密碼套件進行 SSL 檢查,您可以執行以下操作:
- 使用完全前向保密性來保護網路與您的負載平衡器(或反向Proxy)之間的TLS流量。
- 在您的負載平衡器(或反向Proxy)終止完美前向保密會話。
- 使用非 PFS 密碼套件(請參閱下方的 SSL 檢查支援以下密碼套件),以便在負載平衡器(或反向 Proxy)與 Web 伺服器或應用伺服器之間的流量中,讓伺服器上的入侵防護模組能夠解密 TLS 會話並進行檢查。
- 限制流量到 Web 伺服器,針對不使用完全前向保密的應用伺服器端口。
Diffie-Hellman 密碼的特殊考量
|
注意本節僅適用於使用 SSL 檢查而非進階 TLS 流量檢查時。
|
完全前向保密依賴於 Diffie-Hellman 密鑰交換算法。在某些 Web 伺服器上,Diffie-Hellman 可能是預設的,這意味著 SSL 檢查將無法正常工作。因此,檢查伺服器的配置文件並關閉
Diffie-Hellman 密碼對於 Web 伺服器和負載平衡器(或反向 Proxy)之間的 TLS 流量非常重要。例如,要在 Apache 伺服器上關閉 Diffie-Hellman:
- 打開伺服器的配置檔案。Web 伺服器配置檔案的檔案名稱和位置資訊因作業系統 (OS) 和發行版而異。例如,路徑可能是:
- Default installation on RHEL4:
/etc/httpd/conf.d/ssl.conf - Apache 2.2.2 on Red Hat Linux:
/apache2/conf/extra/httpd-ssl.conf
- Default installation on RHEL4:
- 在配置檔案中,找到 "
SSLCipherSuite" 變數。 - 如果此字串尚未出現,請在這些欄位中新增
!DH:!EDH:!ADH:。("!" 告訴 Apache "不" 使用此加密套件。) - 例如,您可能會將 Apache 配置檔案的密碼套件編輯成如下所示:
SSLCipherSuite !DH:!EDH:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
如需詳細資訊,請參閱 Apache 文件中的 SSLCipherSuite 指令。
支援的密碼套件
|
十六進位值
|
OpenSSL 名稱
|
IANA 名稱
|
NSS 名稱
|
進階 TLS 檢查
|
SSL 檢查(舊版)
|
|
0x00,0x04
|
RC4-MD5
|
TLS_RSA_WITH_RC4_128_MD5
|
SSL_RSA_WITH_RC4_128_MD5
|
✔
|
✔
|
|
0x00,0x05
|
RC4-SHA
|
TLS_RSA_WITH_RC4_128_SHA
|
SSL_RSA_WITH_RC4_128_SHA
|
✔
|
✔
|
|
0x00,0x09
|
DES-CBC-SHA
|
TLS_RSA_WITH_DES_CBC_SHA
|
SSL_RSA_WITH_DES_CBC_SHA
|
✔
|
✔
|
|
0x00,0x0A
|
DES-CBC3-SHA
|
TLS_RSA_WITH_3DES_EDE_CBC_SHA
|
SSL_RSA_WITH_3DES_EDE_CBC_SHA
|
✔
|
✔
|
|
0x00,0x2F
|
AES128-SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
TLS_RSA_WITH_AES_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x33
|
DHE-RSA-AES128-SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0x00,0x35
|
AES256-SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
TLS_RSA_WITH_AES_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x39
|
DHE-RSA-AES256-SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0x00,0x3C
|
AES128-SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
TLS_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x3D
|
AES256-SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
TLS_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
✔
|
|
0x00,0x41
|
CAMELLIA128-SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA
|
✔
|
✔
|
|
0x00,0x67
|
DHE-RSA-AES128-SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0x00,0x6b
|
DHE-RSA-AES256-SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
TLS_DHE_RSA_WITH_AES_256_CBC_SHA256
|
✔
|
|
|
0x00,0x84
|
CAMELLIA256-SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA
|
✔
|
✔
|
|
0x00,0x9c
|
AES128-GCM-SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
TLS_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
✔
|
|
0x00,0x9d
|
AES256-GCM-SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
TLS_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
✔
|
|
0x00,0x9e
|
DHE-RSA-AES128-GCM-SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0x00,0x9f
|
DHE-RSA-AES256-GCM-SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0x00,0xBA
|
CAMELLIA128-SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256
|
✔
|
✔
|
|
0x00,0xC0
|
CAMELLIA256-SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256
|
✔
|
✔
|
|
0xc0,0x09
|
ECDHE-ECDSA-AES128-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xC0,0x0A
|
ECDHE-ECDSA-AES256-SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x13
|
ECDHE-RSA-AES128-SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
|
✔
|
|
|
0xc0,0x14
|
ECDHE-RSA-AES256-SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
✔
|
|
|
0xc0,0x23
|
ECDHE-ECDSA-AES128-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x24
|
ECDHE-ECDSA-AES256-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x27
|
ECDHE-RSA-AES128-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
|
✔
|
|
|
0xc0,0x28
|
ECDHE-RSA-AES256-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
|
✔
|
|
|
0xc0,0x2b
|
ECDHE-ECDSA-AES128-GCM-SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x2c
|
ECDHE-ECDSA-AES256-GCM-SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xc0,0x2f
|
ECDHE-RSA-AES128-GCM-SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
|
✔
|
|
|
0xc0,0x30
|
ECDHE-RSA-AES256-GCM-SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
|
✔
|
|
|
0xC0,0x9C
|
AES128-CCM
|
TLS_RSA_WITH_AES_128_CCM
|
TLS_RSA_WITH_AES_128_CCM
|
✔
|
✔
|
|
0xC0,0x9D
|
AES256-CCM
|
TLS_RSA_WITH_AES_256_CCM
|
TLS_RSA_WITH_AES_256_CCM
|
✔
|
✔
|
|
0xC0,0xA0
|
AES128-CCM8
|
TLS_RSA_WITH_AES_128_CCM_8
|
TLS_RSA_WITH_AES_128_CCM_8
|
✔
|
✔
|
|
0xC0,0xA1
|
AES256-CCM8
|
TLS_RSA_WITH_AES_256_CCM_8
|
TLS_RSA_WITH_AES_256_CCM_8
|
✔
|
✔
|
|
0xcc,0xa8
|
ECDHE-RSA-CHACHA20-POLY1305
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xa9
|
ECDHE-ECDSA-CHACHA20-POLY1305
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
|
|
0xcc,0xaa
|
DHE-RSA-CHACHA20-POLY1305
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
TLS_DHE_RSA_WITH_CHACHA20_POLY1305_SHA256
|
✔
|
支援的協定
支援以下協定:
- TLS 1.0
- TLS 1.1
- TLS 1.2
SSL 3.0 檢查 not 支援,並將預設已封鎖。