5.10. HTTPS过滤
HTTPS过滤模块用于对加密超文本传送协议(HTTPS)进行过滤,该模块可以根据IP地址、IP网段、数字证书、加密协议版本等设定过滤条件。配置对话框如下所示:
操作说明:
在[监控分组]里选择要设置HTTPS过滤的电脑组。
在输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。
在列表框中选择要更改的项目,单击<向上>或<向下>箭头按钮可移动该项目的过滤先后顺序。
在列表框中选择要更改的项目,单击[删除]菜单可删除当前选择的项目。
[IP地址]过滤:选择[IP地址],输入IP地址,选择策略,单击<增加>按钮。当用户访问的HTTPS服务器IP地址与列表中的条目相匹配时执行对应策略。
[IP网段]过滤:选择[IP网段],输入网络号及掩码长度,选择策略,单击<增加>按钮。当用户访问的HTTPS服务器IP网段与列表中的条目相匹配时执行对应策略。
[证书]过滤:过滤允许访问的HTTPS服务器数字证书。在[证书]输入框中输入内容,在[策略]中选择相应的策略,单击<增加>按钮增加或保存输入框中的内容。当用户访问的HTTPS服务器数字证书与列表中的条目相匹配时执行对应策略,证书过滤支持通配符。
[禁止HTTPS隧道代理]:选中时禁止用户使用非标准SSL加密协议的客户端软件通过HTTPS端口访问互联网。
[禁止访问无证书服务端]:选中时禁止用户访问采用SSL加密但无数字证书的非标准HTTPS服务器。
[禁止访问无可信任证书服务端]:选中时禁止用户访问访问采用SSL加密但无可信任数字证书的HTTPS服务器。
[禁止使用SSL 2.0]:选中时禁止用户使用SSL 2.0加密协议访问HTTPS服务器。
[禁止使用SSL 3.0]:选中时禁止用户使用SSL 3.0加密协议访问HTTPS服务器。
[禁止使用TLS 1.0]:选中时禁止用户使用TLS 1.0加密协议访问HTTPS服务器。
补充说明:
[IP网段]:采用CIDR网络前缀表示法(RFC 1878)。如网络号210.31.233.0,子网掩码255.255.255.0可表示成210.31.233.0/24;网络号166.133.0.0,子网掩码255.255.0.0可表示成166.133.0.0/16;网络号192.168.0.0,子网掩码255.255.255.240可表示成192.168.0.0/28等。
过滤顺序按IP、网段范围从小到大进行过滤。例如IP为"61.141.238.1"策略为"通过",而IP网段"61.141.238.0/24"策略为"拦截",则表示61.141.238.0/24的网段中只有61.141.238.1能通过,其它IP都被拦截。
[证书]过滤按从上到下的顺序过滤,证书过滤支持通配符。例如首条(证书“*.icbc.com.cn”、策略“通过”),第二条(证书“*.cn”、策略“拦截”),表示服务端数字证书中以“.icbc.com.cn”结尾的允许通过,而其它以“.cn”结尾的数字证书都被拦截。
当启用[禁止访问无可信任证书服务端],过滤模块会用本地的CA证书和ROOT证书对服务端提供的数字证书进行签名验证。如果服务端提供的数字证书在本地找到了有效的颁发者则允许通过,如果未找到有效的颁发者则拦截。
提示:由于HTTPS是互联网上常用的协议,许多软件为了突破防火墙都采用HTTPS隧道技术与外部联系。要禁止这些软件使用HTTPS的443端口,只需启用[禁止HTTPS隧道代理]和[禁止访问无证书服务端]即可。
Active Network CO., LTD
提示:由于HTTPS是互联网上常用的协议,许多软件为了突破防火墙都采用HTTPS隧道技术与外部联系。要禁止这些软件使用HTTPS的443端口,只需启用[禁止HTTPS隧道代理]和[禁止访问无证书服务端]即可。