代理设置 > 关于 HTTPS 代理 > HTTPS 代理:内容检查

HTTPS 代理:内容检查

您可以在 HTTPS 代理操作配置内容检查 部分中启用并配置 HTTPS 内容深度检查。

如果您的设备运行 Fireware XTM v11.0 至 v11.3.x 中的某一版本,则设备的内容检查设置不会包含允许 SSLv2(不安全)选项。

启用 HTTPS 内容深度检查

如果选中此复选框,XTM 设备将会解密 HTTPS 流量,用新证书再对流量加密,然后检查内容。 内容的检查是由您在这个页面中选择的 HTTP 代理策略完成的。

如果拥有使用 HTTPS 端口的其他流量(例如 SSL VPN 流量),则建议仔细评估该选项。 HTTPS 代理总是试图以一种方法检查 TCP 端口 443 上的所有流量。 为确保其他流量源能够正常运行,建议将这些流量源添加到绕开列表。 要获取相关的详细信息,请参阅后续部分。

默认情况下,用来加密流量的证书是由 XTM 设备自动生成的。 您也可以上传自己的证书来加密流量。 如果选择上传自己的证书,请使用自己的内部证书颁发机构 (CA) 签发证书。 如果您的用户在您的域中,并且您使用自己内部 CA 签发的证书,则用户可成功连接。 如果使用公共 CA 生成的证书,您的用户会在浏览器中收到警告。 公共证书颁发机构生成的证书不包含允许 XTM 设备作为中间 CA 运行的属性。

如果原始网站或 Web 服务器带有自签名证书或无效证书,或者证书是由 XTM 设备不能识别的 CA 所签发的(例如公共第三方 CA),那么客户端的浏览器中将会出现证书警告。 无法正确重新签发的证书可能是由 Fireware HTTPS 代理: 无法识别的证书,或者是无效证书

建议您在每个客户端设备上导入您所使用的证书,以及让客户端信任此证书所需的任何其他证书。 如果客户端不能自动信任用于内容检查功能的证书,那么用户会在其浏览器中看到警告,并且像 Windows Update 之类的服务也无法正常运行。

一些第三方程序会存储所需证书的专用副本,但不会使用操作系统证书存储区,也不会在 TCP 端口 443 上传输其他类型的数据。 这些程序包括:

如果这些程序都没有导入可信任 CA 证书的方法,那么在启用内容检查时它们都无法正常运行。 请联系软件供应商来获取关于证书使用或技术支持的更多信息,或了解如何将使用这些软件的计算机的 IP 地址添加到绕开列表。

有关详细信息,请参阅对 HTTPS 代理使用证书关于证书对 HTTPS 代理使用证书

允许 SSLv2(不安全)

SSLv3、SSLv2 和 TLSv1 是用于 HTTPS 连接的协议。 SSLv2 不如 SSLv3 和 TLSv1 安全。 默认情况下,HTTPS 代理只允许与 SSLv3 和 TLSv1 协议进行协商的连接。 如果您的用户连接至仅支持 SSLv2 的客户端或服务器应用程序,请允许 HTTPS 代理使用 SSLv2 协议以连接至这些网站。

要启用此选项,请选中允许 SSLv2(不安全)复选框。 默认情况下此选项为禁用。

代理操作

为 XTM 设备选择在检查已解密的 HTTPS 内容时要使用的 HTTP 代理策略。

启用内容检查时,HTTP 代理操作 WebBlocker 设置将替代 HTTPS 代理 WebBlocker 设置。 如果在绕开列表中添加 IP 地址以用于内容检查,则来自这些站点的流量会按照 HTTPS 代理的 WebBlocker 设置进行筛选。

有关 WebBlocker 配置的详细信息,请参阅关于 WebBlocker

使用 OCSP 以确认证书的有效性

选中此复选框可以让 XTM 设备自动以 OCSP(在线证书状态协议)来检查证书的吊销状态。 如果启用该功能,XTM 设备会使用证书中的信息来联系保留该证书状态记录的 OCSP 服务器。 如果 OCSP 服务器回复此证书已被吊销,XTM 设备将会禁用该证书。

如果选中此选项,可能会有几秒的延迟,因为 XTM 设备需要请求 OCSP 服务器的响应。 XTM 设备会在缓存中保存 300 到 3000 条 OCSP 响应,可改善访问常用网站的性能。 在缓存中可存储的响应数由 XTM 设备的型号决定。

将无法确认有效性的证书视作无效

如果选中此选项并且 OCSP 响应程序没有为吊销状态请求发送回复,XTM 设备会将原始证书视为无效或已吊销证书。 选中此选项,在您的网络连接发生路由错误或问题时,证书将被视为无效。

绕开列表

XTM 设备不会检查发自或发往此列表中 IP 地址的内容。 要添加网站或主机名,请在文本框中键入 IP 地址,并且单击添加

启用内容检查时,HTTP 代理操作 WebBlocker 设置将替代 HTTPS 代理 WebBlocker 设置。 如果在绕开列表中添加了 IP 地址以用于内容检查,则来自这些站点的流量会按照 HTTPS 代理的 WebBlocker 设置进行筛选。

有关 WebBlocker 配置的详细信息,请参阅关于 WebBlocker

请参阅

关于 代理策略和 ALG

关于 HTTPS 代理

提供反馈  •   获得支持  •   全部产品文件  •   知识库