บทความนี้อธิบายวิธีตั้งค่า HTTPS Decryption (SSL Decryption) บน Sangfor NGAF/NSF สำหรับถอดรหัส Traffic HTTPS ที่ออกจาก LAN ไปยัง Internet เพื่อให้ NGAF สามารถตรวจสอบ Content ได้
หลักการทำงาน
- Client ส่ง HTTPS Request — NGAF ทำหน้าที่เป็น SSL Server แทน ในมุมมองของ Client
- NGAF สร้าง Connection ไปยัง SSL Server จริงแทน Client
- NGAF ตรวจสอบ Content ตาม Policy ที่กำหนด แล้วส่งต่อ Traffic
ขั้นตอนที่ 1: สร้าง Decryption Policy
ไปที่ Policies > Decryption > Add
- Name: ตั้งชื่อ Policy
- Zone: เลือก Zone ต้นทาง (Client Zone เช่น LAN)
- Network Object: เลือก IP ที่ต้องการถอดรหัส (หรือ All)
- Service: เลือก Decrypt data to the Internet from the LAN
- Site: เลือกประเภท Website ที่ต้องการถอดรหัส
ขั้นตอนที่ 2: Deploy Certificate ไปยัง Client
Client จำเป็นต้องติดตั้ง Root Certificate ของ NGAF เพื่อไม่ให้ Browser แสดง Certificate Warning มี 3 วิธี:
วิธีที่ 1: แจ้งเตือนบนหน้าเว็บ
- เปิด Option "Upon visit to the following webpage, user is prompted to install the root certificate"
- กรอก URL ที่ต้องการให้แสดงหน้าติดตั้ง Certificate
วิธีที่ 2: Deploy ผ่าน GPO จาก AD
วิธีที่ 3: Deploy ผ่านหน้า Authentication Portal
- ต้องเปิดใช้งาน Authentication Portal บน NGAF
หมายเหตุ
- หากไม่ Deploy Certificate ให้ Client จะเห็น Certificate Warning ทุกครั้งที่เข้าเว็บ HTTPS
- Decryption จะเพิ่มภาระ CPU ของ NGAF — ควรเลือก Decrypt เฉพาะ Zone หรือ Site ที่จำเป็น
- สามารถตั้ง Excluded Addresses เพื่อยกเว้น URL, SNI หรือ CN ที่ไม่ต้องการ Decrypt รวมถึง Option Exclude HSTS websites
- HTTPS Antivirus, URL Filtering และ Upload/Download Filtering ต้องเปิด Decryption ก่อนจึงจะทำงานกับ HTTPS ได้
- บทความนี้สำหรับ Decryption ขาออก (LAN → Internet) สำหรับ Decryption ขาเข้า (Internet → Server) ดูที่ การทำ SSL Decryption ก่อนเข้า Zone Server
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น