#原创分享#如何配置解密提升防火墙AF的完整防护能力

发布标题为#原创分享#的文章，可得S豆和现金奖励，点击去发帖！

“当前已有100+用户参与分享，共计发放奖励50000+“

随着网络环境安全意识的提高，现在web环境也从原先的http慢慢转向https。
现在你可能没有注意防火墙的解密功能，但是查看日志发现一个现象：攻击检查统计量下降了。

为什么攻击检查统计量，因为没有配置解密，防火墙防护能力会下降50%以上。
攻击依旧，还可能更多，只是防火墙无法识别https流量。

之所以分享这个，是因为自己遇到问题，论坛没有解决方案：

很久之前的问题：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=63935

同样的问题帖子：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=63682&highlight=

单IP解密配置方法：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=51310&highlight=

AF配置解密官方手册：https://bbs.sangfor.com.cn/plugin.php?id=sangfor_databases:index&mod=viewdatabase&tid=20881&highlight=

官方帖子描述情景是单IP情景下解密配置，属于前端代理处理的基础原型，下面分享是前端代理的情景及多域名单IP的情景

如果你的web架构是具有前端代理的情景及多域名单IP的情景，现在防火墙AF配置解密遇到如下问题：
1.泛域名证书问题，一个域名绑定一个证书，一个IP绑定多个证书，AF解密无法配置，典型案例某公司
2.如果用了NGINX代理（其他类似，apache等），支持vhosts，nginx也是只能绑定一个证书，但是vhosts下的配置域名可以单独绑定证书，AF解密无法配置，此也是典型案例

解决方法：
针对问题1的解决方法：启用多域名证书，就是多个域名合并成一个证书，证书厂商支持，具体需要请咨询证书厂商
针对问题2的解决方法：分拆NGINX，实现单域名单NGINX单证书，此证书是泛域名证书

这个是本人原先是一个ng，现在是分拆后的配置：没啥看的，都打了马赛克

看看怎么样

非常感谢楼主带来的知识经验分享，已将文章放入技术博客中，以便让更多的用户关注和学习！

如果在解决方法那里，完善下内容（截图说明需要如何配置，实现的效果是什么样的？），就更好啦！

感谢分享

学习一下

感谢分享

学习一下

加密流量目前已经成为行业的主流，解密的配置还是十分重要并实用的

果然是高手在民间，楼主帖子写的不错，很有参考价值，还想看更多精彩分享，期待楼主下一篇好帖！