若要簡化第一個 TLS 檢查原則的組態,您可以使用 [TLS 檢查] 精靈,或使用 UI 來手動建立原則。本主題不說明精靈組態,僅介紹手動組態步驟。

此精靈提供適用於第 1 層閘道防火牆的 TLS 檢查組態工作流程的逐步說明。此精靈僅針對第一個原則顯示在 TLS 檢查首頁上,但您可以在 [所有共用的規則] 和 [閘道特定規則] 索引標籤中存取此精靈。您可以在開始頁面上按一下跳過以跳過組態精靈,並手動完成原則建立和解密動作設定檔設定。

必要條件

這些必要條件對原則中的 TLS 檢查有效。

啟動以下設定。依預設,它們已停用。
  • 為每個閘道啟用 TLS 檢查設定。

    導覽至安全性 > TLS 檢查,然後選取設定索引標籤。從支援 TLS 的閘道清單中選取一或多個閘道,然後按一下開啟

  • 在 Edge 叢集上啟動 URL 資料庫。

    導覽至安全性 > 一般設定 > URL 資料庫。Edge 節點必須具有網際網路連線,NSX Threat Intelligence Cloud 服務 (NTICS) 才能完成 URL 資料庫下載。

  • 若要使用 [安全性] 儀表板來檢視 TLS 檢查統計資料,請在 NSX-T Data Center 3.2 或更新版本的環境中部署 NSX Application Platform,並確保其處於正常狀態。需要特定授權才能進行時間序列監控。如需詳細資料,請參閱《部署和管理 NSX Application Platform》指南和監控安全性統計資料

程序

  1. 使用 admin 權限來登入 NSX Manager
  2. 選取安全性 > TLS 檢查
  3. 選取要定義原則的類別,然後按一下新增原則
  4. 輸入新原則的名稱。
  5. (選用) 如果您想要防止多個使用者變更此區段,請按一下進階組態圖示,然後按一下已鎖定套用
  6. 選取您建立的原則,然後按一下新增規則
    變數 說明
    來源、目的地和 L4 服務 符合與閘道防火牆規則相同的傳入流量欄位。
    內容設定檔 定義並選取內容設定檔,以便根據 URL 類別、信譽和網域名稱將流量加以分類。如需詳細資料,請參閱內容設定檔
    解密動作設定檔 為符合的流量定義並選取解密設定檔。這可以是外部、內部和略過設定檔。如需詳細資料,請參閱建立 TLS 解密動作設定檔
    套用至 選取一或多個第 1 層閘道。
  7. 按一下發佈
    您已完成原則建立。