การทำ SSL Decryption ก่อนเข้า Zone Server

บทความนี้อธิบายวิธีตั้งค่า SSL Decryption สำหรับ Traffic ที่เข้า Server Zone (WAN to Server) บน Sangfor NGAF/NSF เพื่อให้ Firewall สามารถตรวจสอบ HTTPS Traffic ที่เข้า Web Server ภายในได้

Background

Web Server ปัจจุบันใช้ HTTPS ทำให้ Traffic ถูกเข้ารหัส — NGAF จะเห็นได้แค่ Domain Name แต่ไม่สามารถตรวจสอบ Payload ได้ การทำ Decryption จะช่วยให้ Firewall ตรวจสอบและป้องกัน Request ที่อาจเป็นอันตรายได้

สิ่งที่ต้องเตรียม

1. SSL Certificate ของ Web Server (รูปแบบ .pfx หรือ .pem)
2. IP และ Port ของ Server ปลายทาง
3. License WAF (Advanced Functionality) — จำเป็นสำหรับการตรวจสอบ Web Application Layer

ขั้นตอนที่ 1: Import Certificate

ไปที่ Objects > Certificate > Import

• เลือกไฟล์ Certificate (.pfx หรือ .pem)
• กรอก Password (ถ้ามี)
• Certificate ที่ Import ต้องเป็นใบเดียวกับที่ใช้บน Server

ขั้นตอนที่ 2: สร้าง Decryption Policy

ไปที่ Policies > Decryption > Add

• Source Zone: WAN Zone (หรือ Zone ที่ Traffic เข้ามา)
• Source IP: Any (หรือกำหนดเฉพาะ)
• Destination Server: กรอก IP, Port และเลือก Server Type (Web Server, Mail Server, FTP Server, Other Servers)
• Server Certificate: เลือก Certificate ที่ Import ในขั้นตอนที่ 1

ขั้นตอนที่ 3: ทดสอบ

เข้า Web Server จากภายนอกแล้วตรวจสอบว่า Firewall สามารถแสดง Log การตรวจสอบ Traffic ได้ใน Monitor > Logs

หมายเหตุ

• หากไม่มี License WAF จะไม่สามารถตรวจสอบ Packet ใน Web Application Layer ได้
• Certificate ที่ใช้ใน Decryption Policy ต้องเป็นใบเดียวกับที่ใช้บน Server
• การทำ Decryption มีผลกับ Performance ของ Firewall — ควรกำหนดเฉพาะ Server ที่ต้องการป้องกัน
• สำหรับการ Auto Update Certificate จาก Let's Encrypt ดูที่ วิธีการตั้งค่า Auto Update SSL Certificate