詳述如何為選取的安全性原則設定安全通訊端層 (SSL) 檢查規則。
開始之前
若要設定安全性原則,使用者必須先建立安全性原則。如需如何建立安全性原則的特定指示,請參閱建立安全性原則。
SSL 檢查類別
由於 90% 的網際網路流量都已加密,因此必須將流量解密才能檢查其內容。
備註: 依預設,所有流量都會進行 SSL 解密,然後接受檢查,以形成增強安全性的基礎。
但是,有些流量無法接受 SSL 檢查中對流量採用「攔截」的運作方式。這包括使用憑證關聯、相互 TLS (mTLS) 的流量,和部分使用 WebSockets 的流量。若要確保 Cloud Web Security 不會中斷這些類型的流量,使用者可以設定此預設 SSL 檢查規則的例外狀況,以允許流量略過 SSL 檢查。
提示: 有關需要略過規則的網域清單,請參閱
建議設定 SSL 檢查略過規則的網域和 CIDR。
備註: 如果強制執行 SSL 略過規則,則連線尚未解密。無法強制執行內部連線資料,例如:使用者身分識別或檔案內容。會套用類別和網域規則,但套用至使用者、群組和檔案的封鎖原則不會與這個 SSL 略過原則一起套用。因此,當同時使用 SSL 略過規則時會支援 URL 篩選,但不支援套用使用者特定的規則。
您可以按一下 Cloud Web Security > 設定 (Configure) > 企業設定 (Enterprise Settings) 功能表左側上的 SSL 憑證 (SSL Certificate),來下載 SSL 根 CA 憑證。
SSL 憑證設定 (SSL Certificate Settings) 頁面包含一個可下載的
VMware Cloud Web Security CA 憑證,可用來執行 SSL 檢查。若要下載 CA 憑證:
- 按一下 [憑證 (Certificate)] 圖示或要下載的連結。
- 儲存檔案並記下位置。
- 記下憑證指紋,以在匯入時進行驗證。
設定 SSL 檢查規則
如果使用者希望為預設規則設定例外狀況,但不希望
VMware Cloud Web Security 將 SSL 加密封包解密,使用者可以使用以下兩種方法之一,來設定 SSL 檢查規則:
手動 SSL 略過
使用者可以執行以下步驟,根據來源、目的地或目的地類別,手動設定 SSL 檢查規則:
- 導覽至 。
- 選取一個安全性原則以設定 SSL 檢查規則,然後按一下 SSL 檢查 (SSL Inspection) 索引標籤。
- 在安全性原則 (Security Policies) 畫面的 SSL 檢查 (SSL Inspection) 索引標籤中,按一下 + 新增規則 (+ ADD RULE),以設定 SSL 檢查例外狀況規則。
建立 SSL 例外狀況 (Create SSL Exception) 畫面隨即出現。
- 在建立 SSL 例外狀況 (Create SSL Exception) 畫面中,使用者可以選取來源 (Source)、目的地 (Destination) 或目的地類別 (Destination Categories),以選擇要略過 SSL 檢查的流量類型。
例如,使用者可建立會對所有以 zoom.us 為目的地的流量略過 SSL 檢查的規則;具體做法是將該規則設定為目的地規則,然後依目的地 IP 或主機/網域選擇目的地類型,如下列範例畫面中所示。
- 按下一步 (Next) 按鈕。
- 在名稱和標籤 (Name and Tags) 畫面中,提供規則名稱、標籤、為何要建立略過規則的原因 (如果需要),以及規則在 SSL 檢查規則清單中的位置 (選項有 [清單頂端 (Top of List)] 或 [清單底部 (Bottom of List)])。
- 按一下完成 (Finish)。
SSL 檢查規則現已新增至安全性原則。
- 使用者有下列選項可選:設定另一個 SSL 檢查規則、設定不同的安全性原則類別,或在完成後按一下發佈 (Publish) 按鈕,以發佈安全性原則。
- 在發佈安全性原則後,使用者可以套用安全性原則。
輕鬆略過 SSL 檢查/快速例外狀況
透過使用「輕鬆略過 SSL」功能,使用者可以略過常用 Web 應用程式的 SSL 檢查。
若要使用快速例外狀況來設定 SSL 略過規則,請執行以下步驟:
- 在安全性原則 (Security Policies) 畫面的 SSL 檢查 (SSL Inspection) 索引標籤上,按一下新增快速例外狀況 (ADD QUICK EXCEPTION)。
會顯示快速例外狀況 (Quick Exceptions) 組態畫面。
- 若要略過某些網域或子網路 IP 範圍的 SSL 檢查,請在選取例外狀況 (Select Exceptions) 頁面中開啟切換按鈕,以選取使用者希望從 SSL 檢查中排除的一或多個應用程式,然後按下一步 (Next)。在使用者選取應用程式時,還會從 SSL 檢查中排除與所選應用程式相關聯的所有 URL。
- 在名稱、原因和標籤 (Name, Reasons and Tags) 畫面中,提供標籤以及為何要建立快速例外狀況規則的原因 (如果需要),然後按一下完成 (Finish)。
會建立快速例外狀況規則 (Quick Exception Rule),且會出現在 SSL 檢查規則清單頁面中,如以下螢幕擷取畫面中所示。
備註: 只會建立一個規則,無法建立其他任何規則。此規則一律稱為 [快速例外狀況規則 (Quick Exception Rule)],且無法在 [快速例外狀況 (Quick Exception)] 精靈中變更名稱。備註: 此規則一律是 [SSL 檢查規則 (SSL Inspection Rule)] 清單頁面中倒數第二個規則,只要按一下 快速例外狀況規則 (Quick Exception Rule) 名稱,即可快速存取。新增 [快速例外狀況規則 (Quick Exception Rule)] 後, 新增快速例外狀況 (Add Quick Exceptions) 按鈕名稱會變更為 快速例外狀況 (Quick Exception),指出目前有現有的 [快速例外狀況規則 (Quick Exception Rule)] 可供編輯,且無法新增此類型的其他規則。