HTTPS (安全套接字层之上的超文本传输协议,即 HTTP over SSL)是客户端和服务器之间用来保障通信和事务安全的请求/响应协议。 可以使用 HTTPS 代理来确保受 XTM 设备保护的 Web 服务器的安全,或者来检查网络中的客户端所请求的 HTTPS 流量。 默认情况下,HTTPS 客户端发出请求时,会在端口 443 上建立 TCP(传输控制协议)连接。 大部分 HTTPS 服务器会侦听端口 443 上的请求。
HTTPS 比 HTTP 更安全,因为 HTTPS 使用数字证书加密和解密用户的页面请求,以及 Web 服务器返回的页面。 由于 HTTPS 流量是加密流量,因此 XTM 设备必须对其进行解密,然后才可检查该流量。 在检查内容后,XTM 设备会用证书加密流量,并将其发送至预定目标。
可以导出 XTM 设备为此功能创建的默认证书,也可以导入证书供 XTM 设备使用。 如果要使用 HTTPS 代理来检查网络中的用户所请求的 Web 流量,建议导出默认证书并将其分发给每位用户,这样用户就不会接收到关于未受信任的证书的浏览器警告了。 同样的,如果要使用 HTTPS 代理来保障可接受外部网络请求的 Web 服务器的安全,建议导入现有 Web 服务器的证书。
如果组织中的 HTTPS 客户端或服务器使用的不是端口 443,可以通过 TCP/UDP 代理将流量中继给 HTTPS 代理。 有关 TCP/UDP 代理的信息,请参阅关于 TCP-UDP 代理。
要将 HTTPS 代理添加至 XTM 设备配置,请参阅向配置中添加代理策略。
如果必须更改代理定义,可以使用
在策略配置页面顶部,可以设置以下操作:
还可以为 HTTPS 代理配置 WebBlocker 服务操作。 有关详细信息,请参阅WebBlocker 入门。
要设置访问规则和其他选项,请选择“策略”选项卡。
在“属性”选项卡上,可配置以下选项:
也可以在代理定义中使用下列选项:
可以为此代理选择预定义的代理操作,也可以配置用户定义的代理操作。 有关如何配置代理操作的详细信息,请参阅关于 代理操作。
对于 HTTPS 代理,可以为代理操作配置以下类别的设置: