CheckPoint 防火墙ssl inspection配置

Step1:生成或导入证书

本例为了测试方便通过CheckPoint生成自签名证书,域名为ssl.inspection.local,如下图：

Step2:导出证书，安装到需要做ssl inspection的终端，存储目录选择“受信任的根证书颁发机构”

选择“当前用户”

选择存储目录为“受信任的根证书颁发机构”

出现如上警告信息，选择“是”，继续导入

Step3:CheckPoint 网关上开启ssl inspection 

 Step4:配置SSL inspection策略

本例将指定的APP应用开启ssl inspection后提交到AV、AB、IPS等刀片进行安全分析

Step5:在终端上进行应用访问测试

查看证书链如下图：

颁发者变为“ssl.inspection.local”

证书路径如上图

Step6:在CheckPoint管理平台查看日志，选择刀片为"ssl inspection"，过滤最近一小时的日志如下图：

 

至此，CheckPoint的ssl inspection已配置完成，在实际的部署中，出于设备性能的考虑，一般不建议全局开启，可以针对一些特定的应用，比如邮件服务器，网盘或等开启ssl inspection，以对附件中可能存在的恶意附件进行安全检查，进而block掉。