В этом разделе администратор может настроить инспекцию данных, передаваемых по протоколу TLS/SSL.Это в первую очередь HTTPS, а также почтовые протоколы SMTPS и POP3S. UserGate NGFW с функцией SSL-инспектирования выступает в роли доверенного посредника (Man-in-the-Middle, MitM).

Инспектирование SSL необходимо для корректной работы правил фильтрации контента и правил веб-безопасности. Дешифрование SMTPS и POP3S необходимо для блокирования спама.

С помощью правил раздела можно настроить инспектирование HTTPS только для определенных категорий, например «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и при этом не расшифровывать другие категории, например «Финансы», «Правительство» и т. п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе — SNI (Server Name Indication), а если SNI отсутствует, то поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется.

NGFW перехватывает исходящий запрос на установление SSL-соединения и производит подмену сертификата сервера на свой, выписанный внутренним корневым центром сертификации. Чтобы браузеры пользователя не выдавали предупреждение о подмене сертификата, необходимо добавить корневой сертификат центра сертификации в доверенные корневые сертификаты. Подробнее — в разделе «Установка сертификата локального удостоверяющего центра».

Если корневой сертификат доверен, браузер считает полученный сертификат легитимным и устанавливает безопасное SSL-соединение между пользователем и NGFW.

Далее NGFW устанавливает новое, отдельное SSL-соединение с конечным сервером. В итоге NGFW работает как посредник: получает данные от пользователя, проверяет их, перешифровывает и отправляет на внешний сервер, и наоборот.

Аналогично браузерам пользователя некоторые почтовые серверы и пользовательские почтовые программы не принимают почту, если сертификат был подменен. В этом случае необходимо произвести в почтовых программах настройки, отключающие проверку сертификатов, или добавить исключения для сертификата UserGate. Подробно о том, как это сделать, смотрите в документации на почтовое ПО.

ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Выполняется только первое правило, в котором совпали все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Используйте кнопки Выше/Ниже, Наверх/Вниз или перетаскивание мышью для изменения порядка применения правил.

ПримечаниеФлажок Инвертировать меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

ПримечаниеЕсли не создано ни одного правила, SSL не перехватывается и не дешифруются. При этом контент, передаваемый по SSL, не фильтруется.

Чтобы создать правило инспектирования SSL, необходимо в разделе Настройки ➜ Политики безопасности ➜ Инспектирование SSL нажать Добавить и указать необходимые параметры.

Параметр	Описание
Включено	Включает или отключает правило
Название	Название правила
Теги	Указание опционального тега для маркировки правила. Подробнее — в разделе Теги руководства администратора. Опция доступна в версии ПО 7.3.0 и выше
Описание	Описание правила
Записывать в журнал правил	При активации данной опции информация о срабатывание правила будет регистрироваться в «Журнале веб-доступа»
Действие	Расшифровать. Не расшифровывать. Расшифровать и переслать. В случае успешной расшифровки трафика SSL/TLS копия трафика будет переслана в соответствии с правилом и профилем инспектирования SSL. При выборе данного действия необходимо указать профиль пересылки SSL. Подробнее о настройке профилей пересылки — в разделе «Профили пересылки SSL»
Профиль SSL	Выбор профиля SSL. Параметры, указанные в данном профиле, будут использованы как для установки SSL-соединения от браузера пользователя к NGFW, так и при построении SSL-соединения от NGFW к запрашиваемому веб-ресурсу. Подробно о профилях SSL — в разделе «Профили SSL»
Блокировать сайты с некорректными сертификатами	Позволяет блокировать доступ к серверам, предоставляющим некорректный сертификат HTTPS, например, если сертификат истек, отозван, выписан на другое доменное имя или не доверяемым центром сертификации
Проверять по списку отозванных сертификатов	Проверять сертификат сайта в списке отозванных сертификатов (CRL) и блокировать, если он там найден
Блокировать сертификаты с истекшим сроком действия	Блокировать сертификаты, срок действия которых истек
Блокировать самоподписанные сертификаты	Блокировать самоподписанные сертификаты
Пользователи	Список пользователей и групп, для которых применяется данное правило. Могут быть использованы пользователи типа «Any», «Unknown», «Known». Для применения правил к конкретным пользователям или к пользователям типа «Known» необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства»
Источник	Зона, списки IP-адресов, списки GeoIP-адресов, списки URL источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «``» в таких списках не работают (игнорируются). Каждые 5 минут NGFW производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутреннем кэше на время жизни DNS-записи. По истечении времени жизни NGFW автоматически обновляет значение IP-адреса. Важно!* Количество указанных GeoIP не может быть больше 15. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов
Адрес назначения	Списки IP-адресов назначения трафика. Важно! Количество указанных GeoIP не может быть больше 15. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов и/или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов и/или доменов. Подробнее о работе со списками IP-адресов — в разделе «IP-адреса»
Сервисы	Сервис, для которого необходимо дешифровать трафик. Может быть HTTPS, SMTPS, POP3S
Категории	Списки категорий UserGate URL filtering 4.0
Домены	Списки доменов. Доменные имена, для которых применяется данное правило. Доменные имена создаются как списки URL за исключением того, что для инспектирования HTTPS могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/). Подробнее о работе со списками URL — в разделе «Списки URL»
Время	Время, когда правило активно. Администратор может добавить необходимые ему временные интервалы в разделе «Календари»
Использование	Статистика срабатывания данного правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счётчик срабатываний, необходимо выделить правила в списке и нажать Сбросить счётчики
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к данному правилу: добавление, обновление правила, изменение позиции правила в списке и т. п.

По умолчанию создано правило инспектирования «SSL Decrypt all for unknown users», которое необходимо для авторизации неизвестных пользователей через Captive-портал.