SSL轉發代理
使用SSL轉發代理解密策略進行解密,並檢查從內部用戶到web的SSL/TLS流量。SSL轉發代理解密用於阻止偽裝成SSL加密流量的惡意軟件進入企業網絡。
SSL入站檢查
使用SSL入站檢查從可解密和檢查從客戶端到目標服務器(擁有其證書且可將該證書導入防火牆的任務服務器)的入站SSL流量。例如,如果員工遠程連接到web服務器托管的公司網絡,並試圖將閑置的內部文檔添加到Dropbox文件夾(使用SSL進行數據傳輸),則可以使用SSL入站檢查通過組織或限制會話確保公司安全網絡不會泄露敏感數據。
配置SSL入站檢查包括將目標服務器證書和私鑰導入防火牆,因為目標服務器證書和秘鑰在防火牆上導入,因此在大多數情況下,防火牆能夠訪問服務器和客戶端之間的SSL會話,並透明地解密和檢查流量,而不是作為代理運行(此時,協商密碼包括完全正向保密(PFS)秘鑰交換算法,防火牆將作為透明代理運行)。防火牆能夠對解密的流量應用安全策略,通過此安全通道檢查惡意內容和控制正運行的應用程序。
SSH代理
SSH代理可為防火牆提供解密通過防火牆的入站和出站的SSH連接功能,以確保不會將SSH用於傳輸不需要的應用程序和內容,SSH解密不需要任何證書和在防火牆啟動時自動生成用於SSH解密的密鑰。在防火牆的啟動過程中,它會檢查以查看是否需要現有的密鑰,如果沒有,將會自動生成一個密鑰。此密鑰用於解密在防火牆上的配置的所有的虛擬系統的SSH會話,此外,同一密鑰也用於解密所有SSH v2會話。
在SSH代理配置中,防火牆主流在客戶端和服務器之間,當客戶端將SSH請求發送到服務器時,防火牆會攔截SSH請求並將其轉發到服務器,然后,防火牆攔截服務器的響應並將響應轉發到客戶端,以此建立防火牆和客戶端以及防火牆和服務器之間的SSH隧道,這樣防火牆就充當了代理。當流量在客戶端和服務器之間流動時,防火牆能夠區分SSH流是正常路由還是SSH隧道(端口轉發)。在SSH隧道上不會執行內容和威脅檢查,但是,如果防火牆已確定SSH隧道,則會根據配置的安全阻止和限制SSH隧道的流量。
