要简化第一个 TLS 检查策略的配置,您可以使用 TLS 检查向导进行配置,或使用 UI 手动创建策略。本主题不涉及向导配置说明,而仅介绍手动配置步骤。

该向导讲解示范了适用于 Tier-1 网关防火墙的 TLS 检查配置工作流。该向导仅显示在第一个策略的 TLS 检查主页上,但您可以在“所有共享规则”和“网关特定的规则”选项卡中访问该向导。您可以在开始页面上单击跳过,以跳过配置向导并手动完成策略创建和解密操作配置文件设置。

前提条件

这些必备条件对策略中的 TLS 检查有效。

激活以下设置。默认情况下,它们处于停用状态。
  • 为每个网关激活 TLS 检查设置。

    导航到安全 > TLS 检查,然后选择设置选项卡。从支持 TLS 的网关列表中选择一个或多个网关,然后单击打开

  • 激活 Edge 集群上的 URL 数据库。

    导航到安全 > 常规设置 > URL 数据库。Edge 节点必须具有 Internet 连接,以便 NSX Threat Intelligence Cloud Service (NTICS) 可以完成 URL 数据库下载。

  • 要使用“安全”仪表板查看 TLS 检查统计信息,请在 NSX 3.2 或更高版本环境中部署 NSX Application Platform,并确保其处于正常状态。需要特定的许可证才能进行时间序列监控。有关详细信息,请参阅《部署和管理 NSX Application Platform 指南》和 监控安全统计信息

过程

  1. 使用 admin 特权登录到 NSX Manager
  2. 选择安全 > TLS 检查
  3. 选择要定义策略的类别,然后单击添加策略
  4. 输入新策略的名称。
  5. (可选)如果要阻止多个用户对此部分进行更改,请单击高级配置图标,然后单击已锁定应用
  6. 选择已创建的策略,然后单击添加规则
    变量 描述
    源、目标和 L4 服务 将传入的流量的相同字段匹配作为网关防火墙规则。
    上下文配置文件 定义并选择上下文配置文件,以便根据 URL 类别、信誉和域名对流量进行分类。有关详细信息,请参见上下文配置文件
    解密操作配置文件 为匹配的流量定义并选择解密配置文件。这可能是外部配置文件、内部配置文件和绕过配置文件。有关详细信息,请参见创建 TLS 解密操作配置文件
    应用对象 选择一个或多个 Tier-1 网关。
  7. 单击发布
    您已完成策略创建。