Pour simplifier la configuration de la première stratégie Inspection TLS, vous pouvez utiliser l'assistant Inspection TLS ou créer manuellement votre stratégie à l'aide de l'interface utilisateur. Cette rubrique ne décrit pas la configuration de l'assistant, mais uniquement les étapes de configuration manuelle.

L'assistant fournit une démonstration du workflow de configuration de Inspection TLS pour vos pare-feu de passerelle de niveau 1. L'assistant s'affiche sur la page d'accueil de Inspection TLS uniquement pour la première stratégie, mais vous pouvez accéder à l'assistant dans les onglets Toutes les règles partagées et Règles spécifiques à la passerelle. Vous pouvez ignorer l'assistant de configuration et terminer la création de stratégie et la configuration manuelle du profil d'action de déchiffrement en cliquant sur Ignorer sur la page d'ouverture.

Conditions préalables

Ces conditions préalables sont valides pour Inspection TLS dans les stratégies.

Activez les paramètres suivants. Par défaut, ils sont désactivés.
  • Activation des paramètres Inspection TLS par passerelle.

    Accédez à Sécurité > Inspection TLS et sélectionnez l'onglet Paramètres. Sélectionnez une ou plusieurs passerelles dans la liste des passerelles compatibles TLS et cliquez sur Activer.

  • Activation de la base de données d'URL sur le cluster Edge.

    Accédez à Sécurité > Paramètres généraux > Base de données d'URL. Les nœuds Edge doivent disposer d'une connectivité Internet afin que le service NSX Threat Intelligence Cloud (NTICS) puisse effectuer des téléchargements de base de données d'URL.

  • Pour afficher les statistiques d'Inspection TLS à l'aide du tableau de bord Sécurité, déployez NSX Application Platform sur votre environnement NSX-T Data Center 3.2 ou version ultérieure et assurez-vous qu'il est dans un état correct. Une licence spécifique est requise pour la surveillance de séries chronologiques. Pour plus d'informations, reportez-vous au guide Déploiement et gestion de NSX Application Platform et à la section Surveillance des statistiques de sécurité.

Procédure

  1. Avec des privilèges d'administrateur, connectez-vous à NSX Manager.
  2. Sélectionnez Sécurité > Inspection TLS.
  3. Sélectionnez la catégorie pour définir la stratégie, puis cliquez sur Ajouter une stratégie.
  4. Entrez un nom pour la nouvelle stratégie.
  5. (Facultatif) Si vous souhaitez empêcher plusieurs utilisateurs d'apporter des modifications à la section, cliquez sur l'icône Configuration avancée, puis cliquez sur Verrouillé et Appliquer.
  6. Sélectionnez la stratégie que vous avez créée et cliquez sur Ajouter une règle.
    Variable Description
    Services sources, de destination et L4 Correspond aux mêmes champs du trafic entrant que la règle de pare-feu de passerelle.
    Profil de contexte Définissez et sélectionnez un profil de contexte pour classer le trafic en fonction de la catégorie d'URL, de la réputation et du nom de domaine. Pour plus de détails, reportez-vous à la section Profils de contexte.
    Profil d'action de déchiffrement Définissez et sélectionnez le profil de déchiffrement pour le trafic correspondant. Il peut s'agir de profils externes, internes et de contournement. Pour plus d'informations, reportez-vous au Création de profils d'action de déchiffrement TLS.
    Appliqué à Sélectionnez une ou plusieurs passerelles de niveau 1.
  7. Cliquez sur Publier.
    Vous avez terminé la création de votre stratégie.