1.Overview
Với tính năng SSL Inspection bạn sẽ cho phép nhiều Software Blades khác nhau hỗ trợ kiểm tra SSL kiểm tra lưu lượng được mã hóa bởi giao thức Secure Sockets Layer (SSL). Để cho phép gateway kiểm tra các kết nối bảo mật, tất cả các endpoint phía sau gateway phải cài đặt gateway CA certificate.
Software Blades hỗ trợ SSL traffic inspection bao gồm:
- Application & URL Filtering
- IPS
- Anti-Virus
- Anti-Bot
- Threat Emulation
Bài viết sẽ hướng dẫn các bạn cấu hình SSL Inspection, cài đặt CA certificate trên máy trạm, cũng cấu hình bypass các traffic bạn tin tưởng khỏi sự kiểm tra của tính năng SSL Inspection.
2. Hướng dẫn cấu hình.
Bước 1: Bật SSL Inspection.
Trên giao diện quản trị của Checkpoint Firewall > Access Policy > SSL Inspection >Policy
Click chọn SSL traffic inspection để enable tính năng này.
Protocols to inspect chọn HTTPS.
Tiếp theo click chọn Download CA Certificate để tải xuống CA Certificate.
Bước 2: Cài đặt CA Certificate.
Trên máy trạm trong mạng LAN của Checkpoint Firewall. Nhấn tổ hợp phím Window + R. Gõ “mmc” để add CA Certificate vào Trust Root Certificate Authorities.
CLick chọn File > Add/Remove Snap-in..
Chọn mục Certificates trong bảng Available snap-in và click Add.
Chọn Computer Account > Next
Chọn Local computer > Finish.
Tiếp theo mở mục Certificates (Local Computer) > Trusted Root Certification Authorities > Certificate > Right click > All task > Import.
Click chọn Next > Browse chọn file CA Certificate đã tải xuống ở bước 1.
Chọn file Ca.crt > Open.
Click Next > chọn Place all certificates in the following store là “Trusted Root Certification Authorities”. Click Next.
Cuối cùng chọn Finish. Thông báo “The import was successful” bạn đã add CA certificate thành công.
Bước 3: Cấu hình Bypass các traffic khỏi SSL Inspection.
Bạn đi chuyển đến Log and Monitoring > Log > Security Logs. Bạn sẽ thấy tất cả các traffic đều bị HTTPS Inspect.
Hầu hết các trang web đều vẫn có thể truy cập được khi bật tính năng này như facebook.com
Nhưng cũng có những trang web không thể truy cập nếu bật tính năng SSL Inspection này như chat.zalo.me
Để bypass web chat.zalo.me khỏi SSL Inspection bạn cần add URL website này vào mục Exceptions.
Trong SSL Inspection > Exceptions >New.
Điền các thông số sau:
Source: LAN Network
Destination: Internet
Service: HTTPS
Category/Custom Application: Chọn New > URL.
Điền URL “chat.zalo.me”. CLick Apply.
Click Apply.
Truy cập lần nữa vào trang web chat.zalo.me, bạn đã truy cập vào trang web bình thường.
Kiểm tra Logs trên Checkpoint, bạn sẽ thấy log web chat.zalo.me đã được Bypass.