SSL转发代理
使用SSL转发代理解密策略进行解密,并检查从内部用户到web的SSL/TLS流量。SSL转发代理解密用于阻止伪装成SSL加密流量的恶意软件进入企业网络。
SSL入站检查
使用SSL入站检查从可解密和检查从客户端到目标服务器(拥有其证书且可将该证书导入防火墙的任务服务器)的入站SSL流量。例如,如果员工远程连接到web服务器托管的公司网络,并试图将闲置的内部文档添加到Dropbox文件夹(使用SSL进行数据传输),则可以使用SSL入站检查通过组织或限制会话确保公司安全网络不会泄露敏感数据。
配置SSL入站检查包括将目标服务器证书和私钥导入防火墙,因为目标服务器证书和秘钥在防火墙上导入,因此在大多数情况下,防火墙能够访问服务器和客户端之间的SSL会话,并透明地解密和检查流量,而不是作为代理运行(此时,协商密码包括完全正向保密(PFS)秘钥交换算法,防火墙将作为透明代理运行)。防火墙能够对解密的流量应用安全策略,通过此安全通道检查恶意内容和控制正运行的应用程序。
SSH代理
SSH代理可为防火墙提供解密通过防火墙的入站和出站的SSH连接功能,以确保不会将SSH用于传输不需要的应用程序和内容,SSH解密不需要任何证书和在防火墙启动时自动生成用于SSH解密的密钥。在防火墙的启动过程中,它会检查以查看是否需要现有的密钥,如果没有,将会自动生成一个密钥。此密钥用于解密在防火墙上的配置的所有的虚拟系统的SSH会话,此外,同一密钥也用于解密所有SSH v2会话。
在SSH代理配置中,防火墙主流在客户端和服务器之间,当客户端将SSH请求发送到服务器时,防火墙会拦截SSH请求并将其转发到服务器,然后,防火墙拦截服务器的响应并将响应转发到客户端,以此建立防火墙和客户端以及防火墙和服务器之间的SSH隧道,这样防火墙就充当了代理。当流量在客户端和服务器之间流动时,防火墙能够区分SSH流是正常路由还是SSH隧道(端口转发)。在SSH隧道上不会执行内容和威胁检查,但是,如果防火墙已确定SSH隧道,则会根据配置的安全阻止和限制SSH隧道的流量。
