close

https inspection功能基本上是配合Application Control與URL Filter一起運作。

因為https網頁有經過加密,checkpoint對這個封包無法解析,自然無法擋下想阻擋的網頁。

所以我們需要開啟https inspection功能來看https網頁的封包,是不是我們想阻擋的網頁。

簡單來說https inspection功能的開啟就是為了可查看https網頁。

開啟https inspection功能會需要用到CA憑證,產生CA憑證可分兩種方法(我知道就兩種)

一、由checkpoint本身產生cer檔,再匯入各Client。

  這方式對於人數多的公司會是一種負擔,且這種方式與第二種方法比較起來較單純,

  在此Lab會以第二種方式為主。

二、透過CA Server來發憑證。

  此方法對已引進CA Server的公司較沒負擔,因為在之前已將CA憑證匯入各Client,

  但對checkpoint設定來說當然會較繁瑣。

 

壹、設定步驟

Step 1:在MGMT下產生CSR檔

透過SSH登入到MGMT下執行指令產生CRS檔(建議),不過曾經在Gateway下做過也可行。

[Expert@cpm]# cpopenssl req -new -out my.csr -keyout my.key -config $CPDIR/conf/openssl.cnf

Enter PEM pass phrase : test123 PEM password,可自訂

Verifying - nter PEM pass phrase : test123

Country Name (2 letter code) [AU] : TW 國別

State or Province name (full name) [Some-State] : Taiwan 國別全名

Locality Name (eg, city) [] : Hsinchu 城市名

Organization Name (eg, company) [Internet widgeits Pty Ltd] : cklab 公司名稱

Organizational Unit Name (eg, section) [] : IT 部門

Common Name (eg, your name or your server’s hostname) [] : cpcluster.cklab.com.tw Domain

Email Address [] : xxx@xxx.com 選填

Pleaseenter the following ‘extra’ attributes

A challenge password [] : 可不填

An optional company name [] : 可不填

0814-161959.png  

給予admin可開啟WinSCP的權限。

[Expert@cpm:0]# chsh –s /bin/bash admin

[Expert@cpm:0]# pwd 查看目前目錄

0814-162023.png  

把my.csr檔案丟到桌面或您所知的位置。

0814-162055.png  

Step 2:在CA Server下產生CER檔

利用編輯軟體把my.csr打開。

0814-162204.png  

登入到CA Server並點選要求憑證。

0814-162315.png  

點選進階憑證要求

0814-162331.png  

把方才的CSR檔文字貼到上方格子,憑證範本選擇附屬憑證授權單位並點選提交按鈕。

0814-162402.png  

點選Base 64編碼與下載憑證。

0814-164111.png  

再把產生的certnew.cer檔丟回checkpoint。

0814-164243.png

Step 3:在MGMT下轉換成P12檔

[Expert@cpm:0]# cpopenssl pkcs12 -export -out my.p12 -in certnew.cer -inkey my.key

Enter pass phrase for my.key : test123

Etner Export Password : test123

Verifying – Enter Export Password : test123

0814-164406.png  

再把my.p12丟回桌面或您所知的目錄。

0814-164429.png

關閉WinSCP的權限,

[Expert@cpm:0]# chsh -s /etc/cli.sh admin

Step 4:登入SmartDashboard進行P12檔匯入

用SmartDashboard登入。

0814-164549.png  

在cpcluster上快速點兩下,進行編輯cpcluster模式。

0814-164628.png  

點選HTTPS Inspection,再點選import進行匯入。

0814-164647.png  

點選Browse並選擇p12檔的位置,

Private key password : test123

完成後點選OK按鈕。

0814-164659.png  

可以點選view certificate查看目前CA憑證是由CA Server所簽發給cpcluster的domain name。

0814-164708.png  

在Step 3,勾取Enable HTTPS Inspection並點選OK按鈕。

0814-164724.png  

因我們沒做匯出CA憑證,所以系統提示我們,可無視,按是(Y)按鈕。

0814-164736.png  

基本上我們到這就已經設定完成,點選Install Policy後,下一步驟來驗證是否成功。

Step 5:Client安裝CRT檔

回到CA Server點選下載CA憑證、憑證鏈結或CRL

0814-165945.png  

點選下載CA憑證,會取得一個CRT檔再丟到Client點兩下安裝即可。

0814-165956.png  

Step 6:進行驗證

開啟SmartDashboard的Application/URL選項,進行policy的設定。

我們在最後前面新增一條policy來做阻擋Media Sharing與Media Streams類別,

youtube就是此類似的其中一項,所以我們來阻擋https://www.youtube.com/做測試。

新增後記得點選Install按鈕進行派送到Gateway。

0814-165538.png  

開啟IE輸入https://www.youtube.com/會出現如下圖的阻擋訊息網頁,代表就成功了。

0814-165851.png  

開啟Smart Tracker可以查看到方才阻擋的Log。

0814-170625.png  

Record Details記錄很詳細該筆Log是何時、被哪條Policy、什麼原因被阻擋。

0814-170641.png  

arrow
arrow
    全站熱搜
    創作者介紹
    創作者 EdisonChang 的頭像
    EdisonChang

    Coolking's CCNP 筆記

    EdisonChang 發表在 痞客邦 留言(0) 人氣()