CheckPoint 防火墙ssl inspection配置

Step1:生成或导入证书

本例为了测试方便通过CheckPoint生成自签名证书,域名为ssl.inspection.local,如下图:

Step2:导出证书,安装到需要做ssl inspection的终端,存储目录选择“受信任的根证书颁发机构”

选择“当前用户”

选择存储目录为“受信任的根证书颁发机构”

出现如上警告信息,选择“是”,继续导入

Step3:CheckPoint 网关上开启ssl inspection 

 Step4:配置SSL inspection策略

本例将指定的APP应用开启ssl inspection后提交到AV、AB、IPS等刀片进行安全分析

Step5:在终端上进行应用访问测试

查看证书链如下图:

颁发者变为“ssl.inspection.local”

证书路径如上图

Step6:在CheckPoint管理平台查看日志,选择刀片为"ssl inspection",过滤最近一小时的日志如下图:

 

至此,CheckPoint的ssl inspection已配置完成,在实际的部署中,出于设备性能的考虑,一般不建议全局开启,可以针对一些特定的应用,比如邮件服务器,网盘或等开启ssl inspection,以对附件中可能存在的恶意附件进行安全检查,进而block掉。

 

posted on 2022-08-06 17:13  CyberSecurityBook  阅读(385)  评论(0编辑  收藏  举报

导航