Check Point NGFW Cấu hình SSL Decryption (Outbound & Inbound) trên Check Point NGFW

A

Anh Quốc

Intern

Mục tiêu​

  • Giải mã lưu lượng HTTPS từ LAN ra Internet.
  • Giải mã lưu lượng HTTPS truy cập vào Web Server nội bộ.
  • Theo dõi thông tin HTTPS trong Logs & Events.

Phần 1: HTTPS Inspection Outbound​

Bước 1: Bật HTTPS Inspection​

SmartConsole → Gateways & Servers → Double Click Security Gateway (SGW) → HTTPS Inspection
  • Tick Enable HTTPS Inspection
1782400715844.png

  • Chọn Create Certificate
  • Chọn Export Certificate
Lưu file chứng chỉ (.cer) về máy.

Bước 2: Cài chứng chỉ trên máy Client​

Windows → Mở file .cer vừa export
  • Install Certificate
1782400888821.png

  • Local Machine
1782400917717.png

  • Place all certificates in the following store
  • Chọn Trusted Root Certification Authorities
1782400978188.png

  • Finish

Bước 3: Tạo Rule Inspection​

Security Policies → HTTPS Inspection → Policy → Add Rule

Cấu hình:

  • Source: LAN Network
  • Destination: Internet
  • Action: Inspect

1782401084695.png


Bước 4: Áp dụng Policy​

  • Publish
  • Install Policy

Kiểm tra​

Từ máy Client truy cập:

Đang tải…

google.com

1782401487408.png


1782401534830.png

Phần 2: HTTPS Inspection Inbound​

Bước 1: Import chứng chỉ Web Server​

Gateways & Servers → Security Gateway → HTTPS Inspection → Server Certificates
  • Add
  • Chọn file chứng chỉ Web Server (.p12)

1782401653705.png


Bước 2: Tạo Rule Inbound​

Security Policies → HTTPS Inspection → Policy → Add Rule

Cấu hình:
  • Source: Any
  • Destination: Web_Server_Linux
  • Action: Inspect
Chuột phải tại cột Action → Chọn chứng chỉ Web Server vừa import.
1782401676171.png

Bước 3: Cấu hình Static NAT​

Objects → Web_Server_Linux → NAT
  • Tick Add automatic address translation rules
  • Chọn Static NAT
  • Nhập IP Public
Ví dụ:
Original IP: 192.168.2.10 Translated IP: 10.120.170.66
1782401733150.png

Bước 4: Áp dụng Policy​

  • Publish
  • Install Policy

Kiểm tra​

Truy cập:

Đang tải…

10.120.170.66
Nếu cấu hình đúng, Web Server sẽ truy cập được qua HTTPS.
1782401768331.png


Xem Log​

Logs & Events

  • Tìm IP Web Server
  • Nhấn F5
  • Double Click log HTTPS Inspection
Tại đây có thể kiểm tra:
  • URL
  • TLS Version
  • Certificate
  • HTTPS Inspection Status

1782401824105.png


Kết quả​

✓ HTTPS Outbound được giải mã.

✓ HTTPS Inbound được giải mã.

✓ Truy cập Web Server qua IP NAT thành công.

✓ Theo dõi được thông tin HTTPS trong Logs & Events.
 

Đính kèm

  • 1782400798426.png
    1782400798426.png
    67.6 KB · Lượt xem: 0
Bài viết liên quan
Cấu hình xác định người dùng bằng Captive Portal (user được tạo local trên NGFW và thông qua tích hợp với AD (Active Directory)) bởi Anh Quốc,
Cấu hình Data Loss Prevention (DLP) trên Check Point R82 bởi Anh Quốc,
Cấu hình tính năng ngăn chặn malware dựa vào sandboxing bởi Anh Quốc,
Cấu hình tính năng ngăn chặn malware dựa vào signatures bao gồm: anti-virus, anti-bot, anti-spam,... bởi Anh Quốc,
Cấu hình tính năng IPS ngăn chặn các cuộc tấn công trên Check Point R82 bởi Anh Quốc,
Cấu hình URL Filtering và DNS Security trên Check Point R82 bởi Anh Quốc,
Bài viết mới
Cấu hình xác định người dùng bằng Captive Portal (user được tạo local trên NGFW và thông qua tích hợp với AD (Active Directory)) bởi Anh Quốc,
Cấu hình Data Loss Prevention (DLP) trên Check Point R82 bởi Anh Quốc,
Cấu hình tính năng ngăn chặn malware dựa vào sandboxing bởi Anh Quốc,
Cấu hình tính năng ngăn chặn malware dựa vào signatures bao gồm: anti-virus, anti-bot, anti-spam,... bởi Anh Quốc,
Cấu hình tính năng IPS ngăn chặn các cuộc tấn công trên Check Point R82 bởi Anh Quốc,
Cấu hình URL Filtering và DNS Security trên Check Point R82 bởi Anh Quốc,
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top