提示
X
本案例来自tskb,请前往tskb修改源内容:立即前往
'>

步骤二、确认网络环境&配置

|

问题描述

SSL识别不成功

有效排查步骤


解决方案

一、12.0.24版本开始,SSL内容识别增加了准入插件解密方式。
       13.0.8版本(对外发布版本为13.0.14),准入插件解密升级为准入客户端代理解密
       准入插件解密局限性太多,有相应需求的建议优先考虑升级版本采用准入客户端代理解决。




不管哪种方式,都需在多功能序列号里开通有SSL内容识别的功能
二、在在线用户界面找到测试用户,检查用户的策略结果集,是否有关联上ssl内容识别策略。
     注意:1、网上银行、在线支付等金融相关网站,ssl内容识别是不生效的。
               2、ssl内容识别策略不会叠加
               3、配置为准入插件解密方式时,需要同时配置准入策略并关联给用户
     





SSL中间人方式:
1、需要检查设备的部署模式和网络环境:旁路模式不支持;部署在PC与代理服务器中间时不支持;
2、SSL中间人方式依赖dnscache,需要pc解析域名数据经过设备或者设备将dns服务器地址也指向内网dns服务器(AC6.0 6.1默认不支持内网dns,可以打补丁包KB-AC-20151208-201-01支持。
3、ssl中间人方式选择全解密时,不支持内网dns
4、6.1以前版本,如果是多网桥DMZ口重定向无trunk环境,需要打补丁包KB-AC-20150818-101-01
      详细解释看http://192.200.244.100:85/kbdoc/KB-AC-20150818-101-01.report.html
5、6.1以前版本,trunk环境不支持ssl代理。
6、二线代理环境下(pc指代理到SG,SG再配置代理策略将数据指到另一个代理服务器),不支持SSL代理


准入插件解密方式:
1、浏览器兼容性问题,目前我们支持的浏览器有ie、edge、chrome、firefox、sogou、360、qq、遨游(遨游浏览器仅支持兼容模式)。其余浏览器由于未处理注入问题,使用非ie内核访问时会导致无法解密。
2、该https网站使用的是tls1.3协议,或者使用的是http2.0,则无法解密,需要之后的版本再进行处理。
3、13.0.15版本支持Http2.0协议解密审计:解决部分web服务器使用基于http2.0协议的加密,无法解密导致审计失败问题(20200316更新)
   通过禁用浏览器的http2.0协议,强制浏览器使用http1.x协议与服务器通信达到解密效果
4、配置准入解密方式需要重启下浏览器,才能解密数据。测试发现不生效时,可以关闭浏览器重新打开验证下。(20200413更新)

如何判断网站使用的是tls1.3呢?
见下图,访问网站,打开浏览器开发者工具(f12),看Security选项


如何判断是否使用的是http2.0呢:
浏览器F12,看network页面,如下图,将protocol显示出来。

显示是http/1.1表示就是http1.1的,如果显示是h2,就表示是用的http2.0


准入客户端代理解密
准入客户端代理解密取代准入客户端插件解密方式,实现高吞吐率解密、无感知安装客户端、更高兼容性地解密。
原理:PC上网的代理流量通过代理插件跟服务器交互,直接从系统层面提取到主会话密钥进行解密。目前终端代理与windows做适配,通过客户端代理程序修改数据包模拟NAT功能,从而实现对windows上所有TCP/UDP连接进行代理的功能,并在此基础上实现SSL中间人代理、SOCKS代理等功能。
代理客户端只针对常用浏览器和其他支持审计的应用进行代理解密



我要分享
文档编号: 215963
作者: admin
更新时间: 2023-01-05 17:29
适用版本: