規劃 HTTPS 檢查

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

您可以使用 Forefront TMG 來檢查內部的輸出 HTTPS 流量,以保護您的組織防範安全性風險,例如:

  • 可能利用安全通訊端層 (SSL) 通道以未被察覺的方式滲透到組織的病毒和其他惡意內容。

  • 使用在安全通道上的通道設定應用程式 (例如,對等應用程式) 來略過組織存取原則的使用者。

note附註:
  • 「輸出流量」是指來自受到 Forefront TMG 保護的網路中用戶端電腦的流量。

  • 雖然可以啟用不經檢查的 HTTPS 流量,但是不建議您這樣做。

下列小節提供可協助您規劃 HTTPS 檢查的資訊:

HTTPS 檢查如何運作

為了提供 HTTPS 保護,Forefront TMG 可做為啟始 HTTPS 連線的用戶端電腦與安全網站之間的媒介或「中間人」。當用戶端電腦啟始連至安全網站的連線時,Forefront TMG 會攔截要求並執行下列動作:

  1. 建立連至要求網站的安全連線 (SSL 通道),並驗證網站的伺服器憑證。

  2. 複製網站憑證的詳細資料、用那些詳細資料來建立新的 SSL 憑證,以及使用稱為 HTTPS 檢查憑證的憑證授權單位憑證來簽署新的 SSL 憑證。

  3. 提供新憑證給用戶端電腦,並使用該新憑證來建立不同的 SSL 通道。

因為 HTTPS 檢查憑證之前是放在用戶端電腦的「受信任根憑證授權單位」憑證存放區,所以電腦會信任由此憑證簽署的任何憑證。透過中斷連線和建立兩個安全通道,Forefront TMG 伺服器即可解密和檢查在此工作階段期間用戶端電腦與安全網站之間的所有通訊。

note附註:
用戶端和 Forefront TMG 之間的通道強度可能不會與 Forefront TMG 和目標 HTTPS 伺服器之間的通道強度相同。

啟用 HTTPS 檢查的考量

啟用 HTTPS 檢查時,請考慮下列各點:

  • 若要檢查 HTTPS 流量,您必須將憑證授權單位 (CA) 憑證放在 Forefront TMG 伺服器上,並且將它部署至所有用戶端電腦。您可以透過下列其中一種方式取得憑證:

    • 在 Forefront TMG 伺服器上產生自我簽署憑證。

    • 匯入組織中根 CA 所核發的憑證,或是受信任公開 CA (亦即 VeriSign 等外部實體所建立的 CA) 所核發的憑證。此憑證必須是個人資訊交換 (.pfx) 檔案,而且必須受到 Forefront TMG 伺服器所信任。

  • 在多個陣列的部署中,您可以為每個陣列產生或匯入 HTTPS 檢查憑證。

  • HTTPS 檢查不支援延伸驗證 (EV) SSL。當 Forefront TMG 在使用 EV SSL 憑證的網站上執行 HTTPS 檢查時,某些網頁瀏覽器 (例如,會造成網址列變綠的 Internet Explorer 7) 提供的 EV 可見度將不會顯示在使用者的瀏覽器中。為了維護網站的 EV 可見度,您必須從 HTTPS 檢查排除它。

  • HTTPS 檢查與連至外部 SSTP 伺服器的連線以及需要用戶端憑證驗證的伺服器不相容。如果您知道有這樣的伺服器,建議您從 HTTPS 檢查排除它。

  • 若要使用 Active Directory,將 HTTPS 檢查受信任的根憑證授權單位 (CA) 憑證部署至用戶端電腦,Forefront TMG 必須部署在網域環境中。

  • HTTPS 檢查不支援自我簽署憑證。如果您需要啟用使用自我簽署憑證之網站的存取,建議您從 HTTPS 檢查中排除這些網站。如需詳細資訊,請參閱從 HTTPS 檢查排除來源和目的地

    例如,當您使用 Microsoft Forefront Protection 2010 for Exchange Server 來實作電子郵件保護時,若要啟用 Cloudmark 垃圾郵件防護引擎定義更新下載的功能,請從 HTTPS 檢查中排除 Cloudmark 下載網站,因為這個網站會使用自我簽署憑證。

note附註:
如需從 HTTPS 檢查排除網站的相關資訊,請參閱從 HTTPS 檢查排除來源和目的地

關於 HTTPS 檢查中的憑證驗證

下表摘要說明啟用 HTTPS 檢查時 Forefront TMG 所執行的憑證驗證。對於從 HTTPS 檢查所排除的網站,在設定目的地例外時,您可以選取有驗證或無驗證的排除。如需從 HTTPS 檢查排除網站的相關資訊,請參閱從 HTTPS 檢查排除來源和目的地

 

驗證類型 檢查的流量 使用憑證驗證從 HTTPS 檢查排除的網站 不使用憑證驗證從 HTTPS 檢查排除的網站

是否適合伺服器驗證

到期日、撤銷

名稱不相符、信任

Forefront TMG HTTPS 檢查的憑證撤銷考量

請注意下列有關憑證撤銷的問題:

  • 因為 Forefront TMG 會快取憑證,所以如果您需要撤銷憑證,就只能在快取逾時過期之後撤銷憑證。

  • 如果 Forefront TMG 無法連線到憑證撤銷清單 (CRL) 服務,因而無法檢查撤銷,它就會將憑證視為有效。

隱私權問題

因為用戶端電腦的使用者並不知道 Forefront TMG 正在中斷連線並檢查流量,所以基於隱私權和法律的考量,您可能會想要執行下列動作:

相關主題

顯示: