详细介绍了如何为选定的安全策略配置安全套接字层 (SSL) 检查规则。

在开始之前

要配置安全策略,用户必须先创建了一个安全策略。有关如何创建安全策略的具体说明,请参阅创建安全策略

“SSL 检查”(SSL Inspection) 类别

由于 90% 的 Internet 流量都已加密,因此需要解密流量以检查其中所含的内容。
注: 默认情况下,所有流量都会在经过 SSL 解密后进行检查,这为增强安全性奠定了基础。

但是,某些流量不喜欢以 SSL 检查的工作方式为其流量提供“中间人”。这包括使用证书固定和相互 TLS (Mutual TLS, mTLS) 的流量以及一些使用 WebSockets 的流量。为了确保 Cloud Web Security 不会中断这些类型的流量,用户可以为该默认 SSL 检查规则配置例外,这会允许流量绕过 SSL 检查。

提示: 有关需要绕过规则的域列表,请参阅 建议使用 SSL 检查绕过规则的域和 CIDR
注: 如果实施了 SSL 绕过规则,则连接还没有解密。无法实施内部连接数据,例如用户身份或文件内容。将应用类别和域规则,但应用于用户、组和文件的阻止策略未与该 SSL 绕过策略一起应用。因此,在还使用 SSL 绕过规则时,支持 URL 筛选,但不支持应用用户特定的规则。

可以单击 Cloud Web Security > 配置 (Configure) > 企业设置 (Enterprise Settings) 菜单左侧的 SSL 证书 (SSL Certificate) 以下载 SSL 根 CA 证书。

SSL 证书设置 (SSL Certificate Settings) 页面包含用于执行 SSL 检查的可下载 VMware Cloud Web Security CA 证书。要下载该 CA 证书,请执行以下操作:
  1. 单击证书图标或链接以进行下载。
  2. 保存文件并记下位置。
  3. 记下证书指纹以在导入时进行验证。

配置 SSL 检查规则

如果用户希望为默认规则配置例外,并且不希望 VMware Cloud Web Security 解密 SSL 加密数据包,用户可以使用以下两种方法之一配置 SSL 检查规则:

手动 SSL 绕过

用户可以执行以下步骤,以根据源、目标或目标类别手动配置 SSL 检查规则:
  1. 导航到 Cloud Web Security > 配置 (Configure) > 安全策略 (Security Policies)
  2. 选择一个安全策略以配置 SSL 检查规则,然后单击 SSL 检查 (SSL Inspection) 选项卡。
  3. 安全策略 (Security Policies) 屏幕的 SSL 检查 (SSL Inspection) 选项卡中,单击 + 添加规则 (+ ADD RULE) 以配置 SSL 检查例外规则。

    此时将显示创建 SSL 例外 (Create SSL Exception) 屏幕。

  4. 创建 SSL 例外 (Create SSL Exception) 屏幕中,用户可以选择源 (Source)目标 (Destination)目标类别 (Destination Categories) 以选择要绕过 SSL 检查的流量类型。

    例如,用户可以创建一个规则以使发送到 zoom.us 的所有流量绕过 SSL 检查,方法是将该规则配置为目标规则,然后按目标 IP 或主机/域选择目标类型,如以下示例屏幕中所示。

  5. 单击下一步 (Next) 按钮。
  6. 名称和标记 (Name and Tags) 屏幕中,提供规则名称、标记、创建绕过规则的原因(如果需要)以及规则在 SSL 检查规则列表中的位置(选项为“列表顶部”(Top of List) 或“列表底部”(Bottom of List))。

  7. 单击完成 (Finish)

    SSL 检查规则现已添加到安全策略中。

  8. 用户可以选择执行以下操作:配置另一个 SSL 检查规则,配置不同的安全策略类别,或单击发布 (Publish) 按钮以发布安全策略(如果完成)。
  9. 在发布安全策略后,用户可以应用安全策略

轻松绕过 SSL 检查/快速例外

通过使用轻松绕过 SSL 功能,用户可以绕过常用的 Web 应用程序的 SSL 检查。

要使用快速例外配置 SSL 绕过规则,请执行以下步骤:
  1. 安全策略 (Security Policies) 屏幕的 SSL 检查 (SSL Inspection) 选项卡上,单击添加快速例外 (ADD QUICK EXCEPTION)

    将显示快速例外 (Quick Exceptions) 配置屏幕。

  2. 要绕过某些域或子网 IP 范围的 SSL 检查,请在选择例外 (Select Exceptions) 页面中打开切换按钮以选择用户希望从 SSL 检查中排除的一个或多个应用程序,然后单击下一步 (Next)。在用户选择一个应用程序时,还会从 SSL 检查中排除与选定应用程序关联的所有 URL。
  3. 名称、原因和标记 (Name, Reasons and Tags) 屏幕中,提供标记以及创建快速例外规则的原因(如果需要),然后单击完成 (Finish)

    将创建快速例外规则 (Quick Exception Rule),并显示在 SSL 检查规则列表页面中,如以下屏幕截图中所示。

    注: 仅创建一个规则,无法创建任何其他规则。该规则始终命名为“快速例外规则”(Quick Exception Rule),并且无法在“快速例外”(Quick Exception) 向导中更改该名称。
    注: 该规则始终是 SSL 检查规则列表页面中的倒数第二个规则,可以单击 快速例外规则 (Quick Exception Rule) 名称以快速访问该规则。在添加“快速例外规则”(Quick Exception Rule) 后, 添加快速例外 (Add Quick Exceptions) 按钮名称将变为 快速例外 (Quick Exception),这表明存在可编辑的现有快速例外规则 (Quick Exception Rule),并且无法添加这种类型的其他规则。