Blog

SonicWall: Hướng dẫn cấu hình tính năng SSL/TLS Inspection trên thiết bị tường lửa SonicWall

Overview

Bài viết hướng dẫn cách cấu hình tính năng SSL/TLS Inspection trên thiết bị tường lửa SonicWall. Tính năng này giúp kiểm tra tất cả các traffic truy cập ra ngoài Internet, điều đó giúp quản lý được toàn bộ hoạt động mạng, cũng như kiểm tra và phát hiện các mã độc, virus, ransomware được cài thông qua các giao thức bảo mật

Bài viết được thực hiện trên thiết bị SonicWall NSv 270 với version SonicOSX 7.0.1

Sơ đồ mạng

Các bước cấu hình

  • Bật và cấu hình Decryption DPI-SSL
  • Download và cài đặt SSL Certificate trên máy người dùng
  • Exclusion các URL không hiểu bởi SSL Inspection

Hướng dẫn cấu hình

Bật và cấu hình Decryption DPI-SSL

  • Đăng nhập vào thiết bị tường lửa SonicWall bằng tài khoản Admin
  • Đi đến mục POLICY -> Chọn mục Settings -> Chọn mục Decryption (DPI-SSL) -> Chọn mục General
  • Bật Enable SSL Client Inspection
  • Bật Always authenticate server for decrypted connections
  • Bật Allow SSL without decryption (bypass) when connection limit exceeded
  • Bật Audit new default exclusion domain names prior to being added for exclusion
  • Bật Always authenticate server before applying exclusion policy

Nhấn Accept

Download và cài đặt SSL Certificate lên máy người dùng

  • Đi đến tab Certificate -> Nhấn Download
  • Trên máy tính của người dùng -> Vào khung search bấm mmc -> Chọn File -> Nhấn Add/Remove Snap-in…
  • Chọn Certificates -> Nhấn Add
  • Chọn Computer account -> Nhấn Next
  • Chọn Local computer -> Nhấn Finish -> Nhấn OK
  • Chọn Certificates -> Chọn Trusted Root Certification Authorities -> Chuột phải ở Certificates -> Nhấn All Tasks -> Chọn Import..
  • Nhấn Next để tiếp tục -> Nhấn Browse và tìm đến file certificate đã download trước đó -> Nhấn Next để tiếp tục
  • Nhấn Next -> Nhấn Finish
  • Kiểm tra certificate đã import

Exclusion các URL không hiểu bởi SSL Inspection

** Khi sử dụng SSL Inspection, sẽ có 1 số ứng dụng chúng ta bị lỗi khi sử dụng, lý do là vì SonicWall không hiểu và decrypt được các traffic kết nối tới các server của những ứng dụng đó, nên chúng ta sẽ trust các traffic để bypass việc decrypt

  • Đi đến mục OBJECT -> Chọn Websites -> Nhấn Add
  • Nhập tên cho object
  • Nhập các URL mà bạn muốn bypass
  • Đi đến mục Website Groups -> Nhấn Add
  • Đặt tên cho Group
  • Chọn Object Website -> Bấm mũi tên > -> Nhấn Save
  • Đi đến POLICY -> Chọn mục Decryption Policy -> Nhấn Add
  • Đặt tên cho rule
  • Ở mục Action: Chọn Bypass
  • Ở mục Source Address: Chọn LAN Subnets
  • Ở mục Destination Address: Chọn Any
  • Chuyển sang tab URL
  • Ở mục Website: Chọn Website Group đã tạo trước đó

-> Nhấn Add

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận