0
点赞
收藏
分享

微信扫一扫

CheckPoint 防火墙ssl inspection配置

Step1:生成或导入证书

本例为了测试方便通过CheckPoint生成自签名证书,域名为ssl.inspection.local,如下图:

CheckPoint 防火墙ssl inspection配置_ssl inspection

Step2:导出证书,安装到需要做ssl inspection的终端,存储目录选择“受信任的根证书颁发机构”

CheckPoint 防火墙ssl inspection配置_ssl inspection_02

选择“当前用户”

CheckPoint 防火墙ssl inspection配置_ssl inspection_03

选择存储目录为“受信任的根证书颁发机构”

CheckPoint 防火墙ssl inspection配置_ssl inspection_04

出现如上警告信息,选择“是”,继续导入

Step3:CheckPoint 网关上开启ssl inspection 

CheckPoint 防火墙ssl inspection配置_ssl inspection_05

 Step4:配置SSL inspection策略

CheckPoint 防火墙ssl inspection配置_ssl inspection_06

本例将指定的APP应用开启ssl inspection后提交到AV、AB、IPS等刀片进行安全分析

Step5:在终端上进行应用访问测试

CheckPoint 防火墙ssl inspection配置_ssl inspection_07

查看证书链如下图:

CheckPoint 防火墙ssl inspection配置_ssl inspection_08

颁发者变为“ssl.inspection.local”

CheckPoint 防火墙ssl inspection配置_ssl inspection_09

证书路径如上图

Step6:在CheckPoint管理平台查看日志,选择刀片为"ssl inspection",过滤最近一小时的日志如下图:

CheckPoint 防火墙ssl inspection配置_ssl inspection_10

inspection已配置完成,在实际的部署中,出于设备性能的考虑,一般不建议全局开启,可以针对一些特定的应用,比如邮件服务器,网盘或等开启ssl inspection,以对附件中可能存在的恶意附件进行安全检查,进而block掉。

举报

相关推荐

0 条评论