Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Одной из наилучших функций, которой обустроен брандмауэр TMG, является осмотр исходящих SSL подключений. Прошлые версии брандмауэра, начиная с ISA 2000, поддерживали осмотр входящих SSL подключений, эта функция носила заглавие ‘SSL bridging’. Благодаря SSL bridging мы могли вскрывать сеансы SSL методом блокирования SSL подключения на наружном интерфейсе брандмауэра. Потом брандмауэр ISA производил осмотр прикладного уровня содержимого. Когда осмотр проходил, можно было создавать новый SSL сеанс с общественным веб-сервером. На самом деле, сеанс зашифрован от конечной точки до конечной точки и подвержен осмотру на прикладном уровне.

Хотя SSL bridging прошла длинный путь по защите входящих подключений от брандмауэра ISA до TMG, брандмауэры не могли предоставить той же способности в случаях с исходящими подключениями. Без SSL bridging для исходящих подключений (которую с данного момента мы будем именовать осмотром исходящего SSL), брандмауэр немощен в защите о того, что содержится в сеансе SSL. По сути, исходящий SSL сеанс представляет собой то же самое, исходя из убеждений безопасности, что и исходящий VPN сеанс ‘ брандмауэр слеп и немощен против всех атак либо вредного ПО, содержащегося в сеансе VPN.

Есть весомая причина того, почему мы не разрешаем исходящие VPN сеансы в защищенных сетях. Сейчас отлично понятно, что VPN сеансы зашифрованы, а, как следует, непроницаемы для устройств управления брандмауэра. Так как мы знали, что брандмауэр не может защитить нас, мы не разрешали исходящие VPN подключения в собственных защищенных сетях. Мы просто не знали уровень безопасности, используемый в мотивированной сети по другую сторону VPN, и не желали рисковать, подвергая свою сеть хоть каким вероятным опасностям, содержащимся в неведомой сети.

Но с SSL, казалось, все по-другому. Нас всех учили, что SSL – это разработка «безопасности». Таким макаром, если мы используем SSL, мы должны быть «защищены». Неувязка состоит в том, что SSL разработка, как и VPN, это, сначала, разработка конфиденциальности. Конфиденциальность, естественно, является компонентом безопасности, но это не единственный ее компонент. Трудности, с которыми сталкиваются админы безопасности сети, состоят в том, что, хотя конфиденциальность, по сути, и является неплохой вещью, ничто не может быть универсально неплохим, и конфиденциальность не позволяет нашим сетевым шлюзам безопасности делать свою работу.

Чтоб осознать опасности для безопасности, связанные с разрешением исходящих SSL соединений, сначала необходимо пошевелить мозгами о том, как работает современное вредное ПО. Обычно юзеры заражаются, переходя по ссылке в сообщении электрической почты либо при подключении скомпрометированных накопителей к своим компьютерам. Потом вредное ПО начинает творить свои темные дела на зараженной машине. Очень нередко современное вредное ПО подключается к серверам в вебе и загружает дополнительное вредное ПО и информацию, нужную для выполнения более сложных атак. В прошедшем вам не приходилось очень об этом волноваться, так как ваши шлюзы безопасности могли перекрыть выполнение вредного кода.

Но нынешние нехорошие мужчины работают за средства, и употребляют новые и поболее отличные методы обхода вашей защиты. Одним из таких методов обхода вашего очень дорогого решения веб-фильтрации и защиты от вредного ПО является внедрение сеансов SSL на собственных серверах. Так как они знают, что ваши дорогостоящие решения по защите не могут делать осмотр исходящего SSL, зараженные машины могут с легкостью обходить ваши продукты веб-фильтрации, которые не способны найти вредный код снутри SSL туннелей. Сейчас хакеры способны получить доступ к вашим активам, и все это поэтому, что текущие решения безопасности не способны осматривать SSL сеансы.

Это только один пример того, почему осмотр исходящего SSL сеанса так важен. Вот поэтому я считаю, что осмотр исходящих SSL сеансов является важной новейшей функцией, которой обустроен новый брандмауэр TMG. Осмотр исходящего SSL не является кое-чем новым, существует несколько товаров на рынке, которые способны на это. Но, они, обычно, очень дорогие, очень сложные в установке, настройке и управлении, и, в конце концов, не являются частью общей инфраструктуры управления и мониторинга Microsoft. В отличие от их брандмауэр TMG плотно встраивается в другие составляющие инфраструктуры, и вы сможете использовать уже имеющиеся у вас способности работы с Windows и брандмауэром ISA.

Необходимо также отметить, что брандмауэры ISA не поддерживают осмотр исходящих SSL подключений в штатной комплектации. Это была основная слабенькая сторона в их безопасности. Но эту слабенькую сторону можно было совсем не сложно убрать при помощи программки ClearTunnel от компании Collective Software. Утилита ClearTunnel позволяет брандмауэру ISA делать осмотр исходящего SSL и позволяет вам заглянуть в содержимое зашифрованных SSL сеансов с целью предотвращения загрузки вредного ПО.

Так что все-таки необходимо для того, чтоб вынудить осмотр исходящих SSL подключений работать? В общих чертах вам необходимо выполнить последующее:

Установить брандмауэр TMG
Сделать политику интернет доступа
Просмотреть конфигурацию осмотра исходящего SSL
Установить брандмауэр-клиент на клиентском компьютере
Зайти на SSL веб-сайт и следить за осмотром и определением SSL

В этом примере я не буду демонстрировать вам, как установить брандмауэр ТMG. Я только могу сказать вам, что установка брандмауэра TMG не представляет никаких сложностей. По сути, его даже проще устанавливать, чем брандмауэр ISA, и в процессе установки есть много усовершенствований, которые не были доступны в брандмауэре ISA, и эти улучшения вам точно понравятся. По этой причине я напишу статью об установке брандмауэра TMG в разных сценариях в последующий раз.

В рассматриваемых тут шагах брандмауэр TMG уже установлен в качестве наружного файервола. На рисунке ниже показана общая конфигурация испытательной среды.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 1

Как вы видите, тут есть контроллер домена, работающий под управлением Windows Server 2003 Enterprise, клиентский компьютер под управлением Windows Vista SP1, и брандмауэр TMG (TMG Beta 3) на Windows Server 2008 Enterprise версии x64. Эти три машины работают в виртуальной испытательной среде на VMware Workstation 6.5.1 на машине Core i7 920 с четырехядерным микропроцессором Intel VT и включенной функцией hyperthreading, головной компьютер обустроен 12 ГБ трехканальной памяти DDR3 RAM. Внутренний интерфейс брандмауэра TMG, контроллер домена и клиент связаны по сети VMNet2, а наружный интерфейс подключен в режиме моста к рабочей сети.

Обычно я не указываю спецификацию собственного головного компьютера, но так как это новенькая рабочая станция, я желал поведать вам, как высока производительность для таковой виртуальной среды. Если у вас не было способности испробовать новые микропроцессоры Intel Nehalem на базе Core i7, либо новые микропроцессоры серии Xeon 5500 с резвой трехканальной памятью DDR3 RAM, вам необходимо задаться целью сделать это. Люди гласили мне, что эти новые микропроцессоры и память работают « очень быстро», но я не веровал, пока сам не попробовал это новое оборудование в действии. Это просто поразительно, и это оборудование возвратило мне удовлетворенность работы с виртуальными машинами в собственной испытательной среде.

Давайте приступим к настройке брандмауэра TMG и клиента на поддержку осмотра исходящего SSL. Первым шагом будет создание политики интернет доступа.

Создание политики интернет доступа

Политика интернет доступа является новаторством в брандмауэре TMG. Когда вы используете мастера сотворения политики интернет доступа, у вас есть возможность делать фактически все нужные опции и управлять исходящим доступом к HTTP и HTTPS (SSL) веб-сайтам. Политика интернет доступа очень полезна и существенно упрощает внедрение брандмауэра TMG, даже для тех людей, которые никогда не использовали этот брандмауэр либо брандмауэр ISA.

Поначалу необходимо открыть консоль брандмауэра TMG и развернуть узел Forefront TMG в высшей части перечня в левой панели консоли. Потом жмем на узел Политика интернет доступа (Web Access Policy), как показано на рисунке ниже.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 2

С правой стороны консоли перебегаем в закладку Задачки (Tasks) в панели задач (Task Pane). В окне с заголовком Задачки политики доступа (Access Policy Tasks) жмем на ссылку Настроить политику интернет доступа (Configure Web Access Policy) (набросок 3).

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 3

В итоге у нас раскроется приветственная страничка мастера сотворения новейшей политики интернет доступа. Жмем Дальше, чтоб приступить к процессу опции политики интернет доступа.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 4

На страничке Тип политики интернет доступа (Web Access Policy Type) у вас есть две функции:

Сделать ординарную политику интернет доступа для всех клиентов в моей организации (Create a simple Web access policy for all the clients in my organization)
Сделать определяемые админом политики интернет доступа для юзеров, групп и компов (Create customized Web access policies for user, groups and computers)

Так как в этой статье мы концентрируемся на осмотре исходящего SSL, мы выберем самый обычной вариант (Сделать ординарную политику интернет доступа для всех клиентов в моей организации). Это создаст единую политику, применимую ко всем юзерам, и не просит детализированной/многогранной опции типов политики для отдельных юзеров, групп и веб-сайтов. 2-ая функция, напротив, позволяет вам делать все вышесказанное опции.

В последующей статье мы тщательно разглядим, как использовать мастера сотворения политики интернет доступа и вторую опцию, которая позволяет вам более точно настраивать политику доступа. Пока я не уверен в собственном отношении к этой функции, так как она может представлять дополнительные трудности при разработке многогранных политик доступа. Но все свои мысли по этому поводу я придержу до того момента, когда у меня будет возможность более тесновато поработать с этой опцией.

Дальше необходимо избрать первую опцию Create a simple Web access policy for all the clients in my organization и надавить Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 5

На страничке Блокирование интернет доступа по категориям URL (Blocking Web Access by URL Categories) у нас есть возможность настроить функцию фильтрации URL, которая включена в брандмауэр TMG. Это функция подписки, потому необходимо платить за подписку, чтоб пользоваться ею (хотя я думаю, что будет маленький пробный бесплатный период подписки для тестирования этой функции в собственной среде).

Тут есть две функции:

Общая (использовать рекомендуемый минимум категорий URL (use the recommend minimum URL categories))
Определяемая юзером (я сам выберу категории URL (I will select URL categories))

Так как в данной статье нам увлекателен только осмотр входящего SSL, давайте выберем ординарную опцию (Общая Baseline). В итоге политика будет настроена на блокирование ряда главных веб-сайтов, к которым, как считают в Microsoft, не нужен доступ. Функция Custom позволяет вам выбирать категории, которые вы желаете заблокировать. В следующих статьях мы разглядим эту опцию более тщательно.

Избираем опцию Baseline (use the recommended URL categories) и нажимаем Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 6

На страничке Перекрыть пункты предназначения в интернет (Block Web Destinations) вы увидите категории, которые выбраны мастером для блокирования.

Примечание: Следует держать в голове, что правило будет называться Blocked Web Destinations, и что вы можете создавать исключения на последующей страничке мастера.

НажимаемДальше, чтоб перейти на последующую страничку.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 7

На страничке Исключения блокируемых адресов (Blocked Web Destinations Exceptions) вы сможете создавать исключения для юзеров, для которых вы не желаете перекрыть доступ к нелегальным категориям. Как правило это будут админы и исполнительный персонал. Тут мы не будем тщательно рассматривать эту возможность, но непременно разглядим ее в одной из последующих статей.

Нажимаем Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 8

На страничке Характеристики осмотра на вредное ПО (Malware Inspection Settings) у вас есть последующие функции:

Не осматривать интернет содержимое, запрашиваемое из веба (Do not inspect Web content requested from the Internet)
Осматривать интернет содержимое, запрашиваемое из веба ( Inspect Web content required from the Internet). Тут также есть дополнительная функция: Перекрыть зашифрованные архивы (Block encrypted archives)

Эта страничка связана с осмотром содержимого на вредное ПО. Как и в случае с фильтрацией URL, вам будет нужно лицензия, чтоб пользоваться этой функцией, но я не уверен, что для этой функции будет маленький демонстрационный период. И хотя нас сначала интересует осмотр входящего SSL, нам необходимо включить функцию осмотра содержимого на вредное ПО. Причина состоит в том, что одна из наших главных целей осмотра входящего SSL – это убедиться в том, что вредный код, находящийся в SSL туннелях, можно перекрыть. Для этого необходимо включить осмотр содержимого.

Избираем опцию Осматривать интернет содержимое, получаемое из веба, также избираем опцию перекрыть зашифрованные архивы. Это позволит брандмауэру TMG осматривать архивы и удалять находящееся в их вредное ПО.

Нажимаем Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 9

В конце концов, мы добрались до тех страничек, которые представляют для нас больший энтузиазм. На страничке Интернет доступ к HTTPS веб-сайтам (Web Access to HTTPS Sites) у нас есть последующие функции:

Разрешать юзерам доступ к сайтам по HTTPS (Allow users access to Web sites using HTTPS): когда вы включаете эту опцию, юзерам разрешен доступ к SSL веб-сайтам и разрешено исходящее SSL подключение. Когда вы выбираете эту опцию, вам необходимо избрать одну из 3-х дополнительных опций; Осматривать HTTPS трафик и инспектировать сертификаты HTTPS веб-сайтов (Inspect HTTPS traffic and validate HTTPS site certificates). Трафик HTTPS будет подвергаться осмотру при помощи устройств защиты, настроенных на Forefront TMG (HTTPS traffic is inspected using protection mechanisms configured on Forefront TMG). Эта функция включает осмотр исходящих SSL подключений и открывает содержимое для функций фильтрации URL и осмотра на вредное ПО. К тому же, брандмауэр TMG будет инспектировать сертификат сервера, предоставляемый брандмауэру мотивированным сервером. Если процесс проверки сертификата будет безуспешным, подключение будет прервано. Не осматривать HTTPS трафик, но инспектировать сертификат веб-сайта HTTPS (Do not inspect HTTPS traffic, but validate the HTTPS site certificate). Перекрыть HTTPS трафик, если сертификат недействителен (Block HTTPS traffic if the certificate is not valid). Когда вы выбираете эту опцию, трафик SSL не подвергается осмотру исходящего SSL, но процесс проверки сертификата производится, и если сертификат сервера, предоставленный брандмауэру, будет недействительным, подключение будет прервано. Не осматривать HTTPS трафик и не инспектировать сертификат HTTPS веб-сайта (Do not inspect HTTPS traffic and do not validate the HTTPS site certificate). Разрешен хоть какой HTTPS трафик (All HTTPS traffic is allowed). Эта функция отключает осмотр исходящего SSL трафика и проверку SSL сертификатов. Когда вы выбираете эту опцию, вы снижаете безопасность для SSL подключений до того уровня, которым обладали брандмауэры «аппаратного уровня».
Запретить юзерам доступ к сайтам по HTTPS (Do not allow users access to Web sites using HTTPS). Когда вы выбираете эту опцию, не создается никаких правил для исходящих подключений при помощи SSL. Хотя это и поболее неопасно, чем разрешение непроверяемого SSL трафика, ваши юзеры могут сетовать на определенные трудности с подключением, и это может негативно сказаться на продуктивности юзеров.

В этом примере мы выберем функции Разрешать юзерам доступ к интернет веб-сайтам по HTTPS и Осмотр HTTPS трафика и проверка сертификатов HTTPS веб-сайтов. HTTPS осматривается при помощи защитных устройств, настроенных на Forefront TMG. Это позволит нам делать осмотр исходящего SSL, также проверку сертификатов сервера.

Нажимаем Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 10

На страничке Характеристики осмотра HTTP (HTTP Inspection Preferences) необходимо сделать два выбора. 1-ый выбор будет определять, необходимо ли уведомлять юзеров о проведении осмотра их SSL сеансов, а 2-ой выбор связан с сертификатом, который будет употребляться для подписи сертификатов, олицетворяющих мотивированные сайты.

На этой страничке у вас есть два набора опций:

Не уведомлять юзеров о том, что исходящий трафик HTTPS подвергается осмотру (Do not notify users that outbound HTTPS traffic is being inspected). Когда вы выбираете эту опцию, юзеры не будут уведомляться о том, что их сеансы SSL подвергаются проверке. Если вы выбираете эту опцию, нужно временами припоминать юзерам о том, что сеансы SSL осматриваются, и что пароли могут быть открыты в URL, которые они посещают. Это значит, что юзеры должны избегать всех личных дел при использовании корпоративных компов. По сути это очень не плохая общая политика, и любые ее нарушения должны наказываться.
Уведомлять юзеров о том, что HTTPS трафик подвергается проверке (Notify users that outbound HTTPS traffic is being inspected). Когда вы выбираете эту опцию, юзеры будут получать маленькое извещение в системном трее при подключении к SSL веб-сайтам. Но чтоб включить эту функцию, вам необходимо установить брандмауэр-клиент TMG на клиентские системы. Есть масса обстоятельств для установки брандмауэра-клиента, и это только одна из их. Я безотступно рекомендую использовать эту опцию при использовании осмотра исходящего SSL трафика.

Другие две функции связаны с сертификатом, который будет употребляться для подписи SSL сертификатов, создаваемых брандмауэром TMG для олицетворения мотивированных SSL веб-сайтов:

Использовать сертификат, автоматом генерируемый брандмауэром (Use a certificate automatically generated by Forefront TMG). Эта функция позволяет брандмауэру TMG создавать собственный сертификат.
Использовать другой сертификат, эта функция позволяет вам изменять автоматом сделанный сертификат либо выбирать другой сертификат (Use a custom certificate, this option lets you customize the automatically generated certificate or select an alternate certificate). Эта функция позволяет вам изменять сертификат, сделанный брандмауэром TMG, либо, если вы не желаете, чтоб брандмауэр TMG создавал сертификат, вы сможете использовать свой сертификат, а брандмауэр TMG будет использовать и устанавливать его за вас.

В этом примере мы выберем функции Уведомлять юзеров о том, что исходящий HTTPS трафик подвергается осмотру и Использовать сертификат, автоматом генерируемый брандмауэром Forefront TMG. Но, до того как надавить дальше, поглядите на последующий набросок, чтоб поглядеть, как смотрится интерфейс, когда вы выбираете опцию Использовать другой сертификат.

После просмотра этих опций вернитесь вспять, изберите нужные функции и нажмите Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 11

Когда вы выбираете опцию Использовать другой сертификат, у вас возникает два варианта для выбора:

Forefront TMG автоматом сгенерирует сертификат, со последующими подробностями. Эта функция позволяет брандмауэру TMG генерировать сертификат ЦС, который будет подписывать сертификаты олицетворяемых сайтов. Тут есть три дополнительные функции: Имя доверенного центра сертификации (Trusted certificate Authority name): введите имя ЦС, которое будет отображаться на сертификате. TMG введет стандартное имя. Никогда (Never). По дефлоту TMG задает неограниченный срок деяния этому сертификату с датой 1/1/2049. Дата истечения срока деяния (Expiration data). Тут вы устанавливаете собственный срок деяния сертификата ЦС. Заявление издателя (Issuer statement). По дефлоту TMG не включает заявление издателя на сертификате ЦС. Но вы сможете сами ввести его.
Импортировать имеющийся сертификат (Import an existing certificate). Эта функция позволяет вам использовать имеющийся ЦС вашей организации для сотворения сертификата (This option lets you use your organization’s existing CA to generate a certificate). Когда вы выбираете эту опцию, вы сможете использовать свою инфраструктуру открытых ключей (PKI) для сотворения сертификата, который будет употребляться для подписания сертификатов олицетворяемых сайтов. Когда вы выбираете эту опцию, у вас возникают последующие функции: Размещение сертификата (Certificate Location). Тут вы вводите путь либо нажимаете кнопку Обзор (Browse), чтоб указать брандмауэру TMG путь к месту расположения сертификата, который желаете использовать. Пароль файла сертификата (Certificate file password). Если файл сертификата защищен паролем, вам необходимо будет ввести его тут.

В этом примере мы не используем функции с данной странички.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)
Прирастить

Набросок 12

На страничке Характеристики установки сертификата (Certificate Deployment Preferences)вам предоставляются функции установки сертификата ЦС, применяемого для подписи олицетворяемых сертификатов. У вас есть возможность позволить брандмауэру TMG установить сертификаты через Active Directory, либо, если вы не работаете в среде Active Directory (не рекомендуется), то вы сможете экспортировать сертификат, сделанный брандмауэром, и установить его вручную.

В этом примере мы выберем опцию Автоматом устанавливать доверенный корневой сертификат при помощи Active Directory (рекомендуется) (Automatically deploy the trusted root certificate using Active Directory (recommended)). Когда вы выбираете эту опцию, необходимо ввести Имя юзера админа домена (Domain administrator username) и Пароль админа домена (Domain administrator password). Эта информация будет употребляться для установки сертификата при помощи Active Directory.

Нажимаем Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 13

На страничке Конфигурация интернет КЭШа (Web Cache Configuration) можно настраивать веб-кэширование на брандмауэре. В этом примере нас интересует функция осмотра исходящего SSL, потому мы не включаем веб-кэширование в данном сценарии. Но тут очень принципиально упомянуть, что можно кэшировать SSL содержимое, если вы включите эту опцию в правиле кэширования. Но по дефлоту кэширование SSL ответов для исходящих подключений не производится.

Не выбирайте опцию Включить веб-кэширование. Нажмите Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 14

На страничке Проверка функций осмотра и защиты (Verifying Inspection and Protection Features) можно проверить функции осмотра и защиты, которые на данном шаге включены для политики интернет доступа, которую вы создаете. Удостоверьтесь, что функции Включить фильтрацию URL (Enable URL filtering) и Включить HTTPS осмотр (Enable HTTPS inspection) включены.

Нажмите Дальше.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 15

Это вызовет конечную страничку мастера сотворения политики интернет доступа. Прочтите подробности о сделанной вами политике и нажмите Окончить.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 16

После нажатия кнопки Окончить у вас появится окно интерпретатора команд. Этот интерпретатор делает утилиту certutil для установки сертификата в хранилище Active Directory DS. Если вы знакомы с тем, как использовать утилиту certutil (я нет), то набросок ниже может посодействовать вам осознать, что происходит в фоновом режиме. Тут есть чувство «черного ящика», так как нет никакой документации о том, как устанавливается сертификат, либо о том, как управлять сертификатами, которые инсталлируются при помощи этой утилиты. Мы разглядим этот черный момент в дальнейшем.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)
Прирастить

Набросок 17

Нажмите Применить, чтоб применить все конфигурации в политике брандмауэра. В диалоговом окне Описание конфигураций конфигурации (Configuration Change Description) вы сможете ввести предпосылки этих конфигураций, если желаете. У вас также есть возможность экспортировать текущую политику, если вы желаете возвратиться к предшествующей конфигурации. Либо если вы не желаете никогда больше созидать это диалоговое окно, вы сможете отметить строчку Никогда больше не демонстрировать это окно (Do not show this prompt again) галочкой. Не волнуйтесь. Если вы возжелаете узреть его опять, вы можете это сделать позднее.

Нажмите Применить, чтоб сохранить конфигурации политики брандмауэра. Нажмите OK в диалоговом окне Сохранение конфигураций конфигурации.

Осмотр исходящего SSL трафика в брандмауэрах TMG (часть 1)

Набросок 18

Заключение

В этой части цикла статей о функции осмотра исходящего SSL мы разглядели значимость данной функции, а потом перебежали к подробностям о том, как создавать политику интернет доступа, которая включает осмотр исходящих SSL сеансов. Во 2-ой части этого цикла мы тщательно разглядим конфигурацию, а потом проверим, как это работает на практике.

Аналогичный товар: Комментирование на данный момент запрещено, но Вы можете оставить ссылку на Ваш сайт.

Комментарии закрыты.