Step1:生成或导入证书
本例为了测试方便通过CheckPoint生成自签名证书,域名为ssl.inspection.local,如下图:
Step2:导出证书,安装到需要做ssl inspection的终端,存储目录选择“受信任的根证书颁发机构”
选择“当前用户”
选择存储目录为“受信任的根证书颁发机构”
出现如上警告信息,选择“是”,继续导入
Step3:CheckPoint 网关上开启ssl inspection
Step4:配置SSL inspection策略
本例将指定的APP应用开启ssl inspection后提交到AV、AB、IPS等刀片进行安全分析
Step5:在终端上进行应用访问测试
查看证书链如下图:
颁发者变为“ssl.inspection.local”
证书路径如上图
Step6:在CheckPoint管理平台查看日志,选择刀片为"ssl inspection",过滤最近一小时的日志如下图:
inspection已配置完成,在实际的部署中,出于设备性能的考虑,一般不建议全局开启,可以针对一些特定的应用,比如邮件服务器,网盘或等开启ssl inspection,以对附件中可能存在的恶意附件进行安全检查,进而block掉。
