詳述如何為選取的安全性原則設定安全通訊端層 (SSL) 檢查規則。

開始之前

若要設定安全性原則,使用者必須先建立安全性原則。如需如何建立安全性原則的特定指示,請參閱建立安全性原則

SSL 檢查類別

由於 90% 的網際網路流量都已加密,因此必須將流量解密才能檢查其內容。
備註: 依預設,所有流量都會進行 SSL 解密,然後接受檢查,以形成增強安全性的基礎。

但是,有些流量無法接受 SSL 檢查中對流量採用「攔截」的運作方式。這包括使用憑證關聯、相互 TLS (mTLS) 的流量,和部分使用 WebSockets 的流量。若要確保 Cloud Web Security 不會中斷這些類型的流量,使用者可以設定此預設 SSL 檢查規則的例外狀況,以允許流量略過 SSL 檢查。

提示: 有關需要略過規則的網域清單,請參閱 建議設定 SSL 檢查略過規則的網域和 CIDR
備註: 如果強制執行 SSL 略過規則,則連線尚未解密。無法強制執行內部連線資料,例如:使用者身分識別或檔案內容。會套用類別和網域規則,但套用至使用者、群組和檔案的封鎖原則不會與這個 SSL 略過原則一起套用。因此,當同時使用 SSL 略過規則時會支援 URL 篩選,但不支援套用使用者特定的規則。

您可以按一下 Cloud Web Security > 設定 (Configure) > 企業設定 (Enterprise Settings) 功能表左側上的 SSL 憑證 (SSL Certificate),來下載 SSL 根 CA 憑證。

SSL 憑證設定 (SSL Certificate Settings) 頁面包含一個可下載的 VMware Cloud Web Security CA 憑證,可用來執行 SSL 檢查。若要下載 CA 憑證:
  1. 按一下 [憑證 (Certificate)] 圖示或要下載的連結。
  2. 儲存檔案並記下位置。
  3. 記下憑證指紋,以在匯入時進行驗證。

設定 SSL 檢查規則

如果使用者希望為預設規則設定例外狀況,但不希望 VMware Cloud Web Security 將 SSL 加密封包解密,使用者可以使用以下兩種方法之一,來設定 SSL 檢查規則:

手動 SSL 略過

使用者可以執行以下步驟,根據來源、目的地或目的地類別,手動設定 SSL 檢查規則:
  1. 導覽至 Cloud Web Security > 設定 (Configure) > 安全性原則 (Security Policies)
  2. 選取一個安全性原則以設定 SSL 檢查規則,然後按一下 SSL 檢查 (SSL Inspection) 索引標籤。
  3. 安全性原則 (Security Policies) 畫面的 SSL 檢查 (SSL Inspection) 索引標籤中,按一下 + 新增規則 (+ ADD RULE),以設定 SSL 檢查例外狀況規則。

    建立 SSL 例外狀況 (Create SSL Exception) 畫面隨即出現。

  4. 建立 SSL 例外狀況 (Create SSL Exception) 畫面中,使用者可以選取來源 (Source)目的地 (Destination)目的地類別 (Destination Categories),以選擇要略過 SSL 檢查的流量類型。

    例如,使用者可建立會對所有以 zoom.us 為目的地的流量略過 SSL 檢查的規則;具體做法是將該規則設定為目的地規則,然後依目的地 IP 或主機/網域選擇目的地類型,如下列範例畫面中所示。

  5. 下一步 (Next) 按鈕。
  6. 名稱和標籤 (Name and Tags) 畫面中,提供規則名稱、標籤、為何要建立略過規則的原因 (如果需要),以及規則在 SSL 檢查規則清單中的位置 (選項有 [清單頂端 (Top of List)] 或 [清單底部 (Bottom of List)])。

  7. 按一下完成 (Finish)

    SSL 檢查規則現已新增至安全性原則。

  8. 使用者有下列選項可選:設定另一個 SSL 檢查規則、設定不同的安全性原則類別,或在完成後按一下發佈 (Publish) 按鈕,以發佈安全性原則。
  9. 在發佈安全性原則後,使用者可以套用安全性原則

輕鬆略過 SSL 檢查/快速例外狀況

透過使用「輕鬆略過 SSL」功能,使用者可以略過常用 Web 應用程式的 SSL 檢查。

若要使用快速例外狀況來設定 SSL 略過規則,請執行以下步驟:
  1. 安全性原則 (Security Policies) 畫面的 SSL 檢查 (SSL Inspection) 索引標籤上,按一下新增快速例外狀況 (ADD QUICK EXCEPTION)

    會顯示快速例外狀況 (Quick Exceptions) 組態畫面。

  2. 若要略過某些網域或子網路 IP 範圍的 SSL 檢查,請在選取例外狀況 (Select Exceptions) 頁面中開啟切換按鈕,以選取使用者希望從 SSL 檢查中排除的一或多個應用程式,然後按下一步 (Next)。在使用者選取應用程式時,還會從 SSL 檢查中排除與所選應用程式相關聯的所有 URL。
  3. 名稱、原因和標籤 (Name, Reasons and Tags) 畫面中,提供標籤以及為何要建立快速例外狀況規則的原因 (如果需要),然後按一下完成 (Finish)

    會建立快速例外狀況規則 (Quick Exception Rule),且會出現在 SSL 檢查規則清單頁面中,如以下螢幕擷取畫面中所示。

    備註: 只會建立一個規則,無法建立其他任何規則。此規則一律稱為 [快速例外狀況規則 (Quick Exception Rule)],且無法在 [快速例外狀況 (Quick Exception)] 精靈中變更名稱。
    備註: 此規則一律是 [SSL 檢查規則 (SSL Inspection Rule)] 清單頁面中倒數第二個規則,只要按一下 快速例外狀況規則 (Quick Exception Rule) 名稱,即可快速存取。新增 [快速例外狀況規則 (Quick Exception Rule)] 後, 新增快速例外狀況 (Add Quick Exceptions) 按鈕名稱會變更為 快速例外狀況 (Quick Exception),指出目前有現有的 [快速例外狀況規則 (Quick Exception Rule)] 可供編輯,且無法新增此類型的其他規則。