【每日一记12】--AF___SSL解密配置变更

一、背景

       随着互联网的发展，各种漏洞和攻击层出不穷，被广泛部署和应用的HTTP网站数据是明文传输，存在被窃听、窃取和篡改的可能性。因此越来越多的网站开始向HTTPS迁移，对用户和网站交 互的数据进行加密，保护了数据的安全。与此同时也导致传统的防火墙无法防御针对HTTPS网站的 攻击，无法拦截用户访问恶意的HTTPS网站。 针对SSL加密的访问，NGAF开发了SSL解密模块，分别用于解密内网服务器发布的业务和解密访问站点的数据，以便分析、记录外网访问服务器和内网用户访问互联网服务器的数据，保护服务器和PC不被攻击

二、应用场景

      解密内网服务器发布的业务需要NGAF导入服务器的证书（包含数字证书和私钥），当用户访问服务器的业务时，NGAF可以用私钥解密出访问服务器的数据并阻止、记录针对服务器的IPS和WAF攻击

三、配置步骤

3.1、确认授权

注：内存满足4G就默认开了ssl解密功能

3.2、登录NGAF后，点击导航菜单的解密-服务器证书，选择导入一个证书文件，输入名称，加载存 在PC上的pfx证书文件并输入导入证书文件所需的密码，然后点击提交，查看导入证书成功

注：证书文件格式支持如下几种格式:

1、pfx ,.p12

2、可以支持导入一对公钥和私钥（公钥文件pem，der，crt格式,私钥文件支持pem，der，cakey，如crt和cakey不能直接导入，可以选择将这两个文件内容粘成文本导入）

3.3、点击解密，然后点击新增按钮，输入名称，对象区域选择wan，IP组选择全部，业务类型选择解密内网服务器发布的业务，服务 器IP/端口点击新增，输入服务器IP、端口并选择服务器类型，选择服务证书，然后点击提交

3.4、配置保护服务器的WAF策略