AC做上网审计HTTPS解密怎么配置？

AC做上网审计HTTPS解密怎么配置？

您好，关于AC设备配置上网审计HTTPS解密的步骤，您可以参考以下详细流程：

• 开启SSL内容识别功能
  审计HTTPS加密网站必须开启【SSL内容识别】功能。不同版本配置路径有所区别，如：
  
  AC 13.0.120版本及以上：在【行为管理】-【SSL解密策略】中新增策略。
  AC 13.0.80版本：在【行为管理】-【访问权限策略】中新增【SSL解密策略】。
  其他版本也有相应路径，建议根据实际版本进行操作。
  
• 选择解密方式
  SSL内容识别支持两种解密方式：
  
  SSL中间人解密（不需要安装客户端证书）
  SSL准入客户端解密（需要在客户端安装准入插件和根证书）
  
  具体选择哪种方式根据需求而定。准入客户端解密方式需确保客户端正确安装证书，否则HTTPS网页无法正常访问。
  
• 配置加密WEB应用内容识别
  启用加密WEB应用内容识别后，建议选择“自定义”并添加需要解密的域名，避免全部解密带来较大性能消耗。
• 配置网页内容审计策略
  在【行为审计】-【上网审计策略】中新建策略，勾选【审计网页标题及网页内容】，即可对网页内容进行详细审计。
• 安装设备根证书
  用户PC端需安装AC设备生成的根证书到“受信任的根证书”存储区，确保HTTPS流量能被正常解密和识别。
  
• 测试验证
  导入完成后，进行访问测试，确保HTTPS网页内容关键字被正常识别并能被拦截。
  
  
  

详细配置步骤可参考：https://support.sangfor.com.cn/p ... ;category_id=239825

该配置适用于深信服AC/SG设备的上网行为管理版本12.0.120及以上版本，您可以根据您设备的版本做相应调整操作。

如果需要准入客户端解密的配置步骤也可以告知，我可以为您详细说明。祝您配置顺利！

可联系400远程协助。

要审计HTTPS加密网站，必须先开启【SSL内容识别】功能。

在上网行为管理12.0.120及全网行为管理13.0.102-13.0.120版本，以【行为管理】-【SSL解密策略】新增策略配置。
在12.0.47-12.0.80版本，路径为【行为管理】-【访问权限策略】-新增【SSL解密策略】。
在11.0-12.0.46版本，路径为【策略管理】-【上网策略】-【上网权限策略】新增【SSL内容识别】。

在线客服--行为管理ac ，智能机器人都帮你解决了

要审计HTTPS加密网站，必须先开启【SSL内容识别】功能。

在深信服AC设备上配置上网审计的HTTPS解密，可通过中间人解密和准入插件解密两种技术实现，以下是具体配置步骤与分析：

一、中间人解密配置
原理：AC作为代理服务器，拦截客户端与真实服务器之间的SSL/TLS通信，通过伪造证书实现解密。

证书准备与部署
生成或获取证书：需企业根证书（自签名或CA签发），包含.pem（证书）和.key（私钥）文件。
导入证书到AC：
登录AC管理界面，进入【系统管理】→【证书管理】。
上传.pem和.key文件，确保证书链完整。
分发证书到终端：
手动安装：通过AD域推送或用户手动导入证书到“受信任的根证书颁发机构”。
自动安装：配置重定向页面强制用户下载证书（可能触发浏览器警告）。
启用SSL中间人解密
进入【策略管理】→【上网策略】→【SSL内容识别】。
勾选【启用SSL解密】，选择解密方式为【中间人解密】。
配置解密范围（如全流量或指定域名/IP）。
例外处理：添加金融、医疗等敏感站点到白名单，避免法律风险。
验证与测试
终端访问HTTPS网站，检查是否触发证书警告（若已正确安装AC证书则无警告）。
在AC日志中心查询解密后的明文内容，确认审计数据完整。
优缺点：

优点：无需终端安装插件，兼容性广。
缺点：
性能消耗较高（解密吞吐率较低）。
证书警告可能影响用户体验。
不支持指定进程解密。
二、准入插件解密配置
原理：在终端安装准入插件，通过Hook浏览器SSL库函数提取会话主密钥，实现无证书警告的解密。

插件安装与配置
下载插件：从AC管理界面下载准入插件安装包。
终端安装：
通过组策略批量推送（适用于Windows域环境）。
用户手动安装（需管理员权限）。
配置插件参数：
设置主密钥缓存时间（建议120-300秒）。
配置进程级过滤规则（排除电子签章等敏感应用）。
启用准入插件解密
进入【策略管理】→【上网策略】→【SSL内容识别】。
勾选【启用SSL解密】，选择解密方式为【准入插件解密】。
配置解密范围（如全流量或指定应用）。
验证与测试
终端访问HTTPS网站，确认无证书警告。
在AC日志中心查询解密后的明文内容，检查插件是否正常工作（可通过抓取端口61111的SSL加密流量确认密钥传输）。
优缺点：

优点：
无证书警告，用户体验好。
性能消耗低（插件运行在终端，解密吞吐率高）。
支持指定进程解密。
缺点：
仅支持Windows系统。
需终端安装插件，部署复杂度较高。
三、配置建议与注意事项
合规性要求：
遵循GDPR等法规，明确告知用户审计范围，避免非法监控。
设置解密白名单，保护员工隐私（如个人邮箱、医疗网站）。
性能优化：
中间人解密：启用硬件加速卡（如QAT）处理TLS握手，减少延迟。
准入插件解密：优化插件参数（如主密钥缓存时间），平衡安全性与性能。
维护与更新：
定期更新AC证书和插件版本，修复安全漏洞。
监控解密日志，及时处理异常流量（如频繁解密失败）。
场景选择：
中间人解密：适用于网桥/路由模式，需快速部署且终端兼容性要求高的场景。
准入插件解密：适用于对审计精度和性能要求高的场景（如研发部门代码外传审计）。

核心配置1：开启SSL解密（以V11.0-12.0.46为例）
登录AC管理界面，进入步骤二找到的【上网权限策略】。
点击新增一个策略，在【SSL内容识别】区域，勾选启用。
根据第一步方案，选择解密方式为 SSL中间人解密 或 准入客户端解密。
在【解密全部】或【添加域名】中选择解密范围。
强烈建议：为保护性能，选择自定义添加需要审计的HTTPS域名，避免资源浪费。
在【适用对象】中选择需要审计的用户或用户组。
核心配置2：开启网页内容审计（以V11.0-12.0.46为例）
仅开启SSL解密只能看到访问了哪个网站，要看到具体内容需额外开启审计策略：
进入【上网审计策略】，点击新增。
在【网页内容审计】**区域，勾选 审计网页标题及网页内容。
注意：此功能会消耗设备性能，建议只对需要审计的用户组开启。
同样在【适用对象】中选择需要审计的用户。

    开启SSL内容识别功能
    审计HTTPS加密网站必须开启【SSL内容识别】功能。例如：
        在标准版本AC 13.0.120中，在【行为管理】-【SSL解密策略】新增解密策略。
        不同版本的AC设备页面名称和路径稍有区别，请按版本选择对应路径操作。

    选择解密方式
    SSL内容识别中支持两种解密方式：
        SSL中间人解密：不需要客户端安装准入插件；
        准入客户端解密：需要在客户端PC端安装准入插件才能解密HTTPS。

    配置加密WEB应用内容识别
    在SSL内容识别中启用加密WEB应用内容识别，选择【自定义】，将需要解密的网站域名添加进去。建议不要选择全部，以免性能消耗较大。
    并选择需要适用的用户对象。

    配置网页内容审计策略
        在【行为审计】-【上网审计策略】中新建策略，勾选【审计网页标题及网页内容】。
        不同版本具体路径稍有差异，请选对应版本操作。

    客户端安装SSL根证书
    需要在用户端的PC上安装AC设备生成的根证书，并将其添加为受信任的根证书，证书可在SSL内容识别模块中下载。

    版本支持
        AC设备从12.0.47版本开始支持通过【SSL解密策略】配置。
        准入客户端解密自12.0.26版本起支持。

以下是一个示意操作动画，帮助理解配置过程：

详细配置说明可参考官方文档链接：点此查看

这样配置后，AC设备即可对HTTPS网页内容进行有效审计和解密。

【行为管理】-【访问权限策略】-新增【SSL解密策略】