В этом разделе вы можете настроить инспекцию данных, передаваемых по протоколу TLS/SSL. UserGate SWG с функцией SSL-инспектирования выступает в роли доверенного посредника (Man-in-the-Middle, MitM).

Инспектирование SSL необходимо для корректной работы правил фильтрации контента и правил веб-безопасности.

С помощью правил раздела вы можете настроить инспектирование HTTPS только для определенных категорий, например «Вредоносное ПО», «Анонимайзеры», «Ботнеты» и не расшифровывать другие категории, например «Финансы», «Правительство» и т. п. Для определения категории сайта используется информация, передаваемая в HTTPS-запросе — SNI (Server Name Indication). При отсутствии SNI может использоваться поле Subject Name в сертификате сервера. Содержимое поля Subject Alternative Name игнорируется.

UserGate SWG перехватывает исходящий запрос на установление SSL-соединения и производит подмену сертификата сервера на свой, выписанный внутренним корневым центром сертификации. Чтобы браузеры пользователя не выдавали предупреждение о подмене сертификата, необходимо добавить корневой сертификат центра сертификации в доверенные корневые сертификаты. Подробнее — в разделе «Установка сертификата локального удостоверяющего центра».

Если корневой сертификат доверен, браузер считает полученный сертификат легитимным и устанавливает безопасное SSL-соединение между пользователем и UserGate SWG.

Далее UserGate SWG устанавливает новое, отдельное SSL-соединение с конечным сервером. В итоге UserGate SWG работает как посредник: получает данные от пользователя, проверяет их, шифрует и отправляет на внешний сервер, и наоборот.

ПримечаниеПравила применяются поочередно сверху вниз в том порядке, в котором они указаны в списке. Срабатывает только первое правило, в котором выполняются все указанные условия. Это значит, что более специфические правила должны быть выше в списке, чем более общие правила. Вы можете изменить порядок правил в списке с помощью мыши или с помощью значков «Выше», «Ниже», «Наверх», «Вниз» в панели инструментов.

ПримечаниеФлажок «Инвертировать» меняет действие условия на противоположное, что соответствует логическому «НЕ» (отрицание).

ПримечаниеЕсли не создано ни одного правила, SSL не перехватывается и не дешифруются. При этом контент, передаваемый по SSL, не фильтруется.

Чтобы создать правило инспектирования SSL, перейдите в раздел Настройки ➜ Политики безопасности ➜ Инспектирование SSL, нажмите Добавить и укажите необходимые параметры.

Параметр	Описание
Включено	Включение или отключение правил
Название	Название правила
Теги	Указание опционального тега для маркировки правила. Подробнее — в разделе «Теги»
Описание	Описание правила
Записывать в журнал правил	При активации этой опции информация о срабатывание правила будет регистрироваться в «Журнале веб-доступа»
Действие	Выполняемое действие: Расшифровать. Не расшифровывать. Расшифровать и переслать. В случае успешной расшифровки трафика SSL/TLS копия трафика будет передана в соответствии с правилом и профилем инспектирования SSL. При выборе этого действия укажите профиль пересылки SSL. Подробнее о настройке профилей пересылки — в разделе «Профили пересылки SSL»
Профиль SSL	Выбор профиля SSL. Параметры, указанные в этом профиле, будут использованы как для установки SSL-соединения от браузера пользователя к UserGate SWG, так и при построении SSL-соединения от UserGare SWG к запрашиваемому веб-ресурсу. Подробнее о профилях SSL — в разделе «Профили SSL»
Блокировать сайты с некорректными сертификатами	Блокировка доступа к серверам, предоставляющим некорректный сертификат HTTPS, например, если сертификат истек, отозван, выписан на другое доменное имя или выдан недоверенным центром сертификации
Проверять по списку отозванных сертификатов	Проверка сертификата сайта в списке отозванных сертификатов (CRL). Если сертификат найден в списке, сайт будет заблокирован
Блокировать сертификаты с истекшим сроком действия	Блокировка сертификатов, срок действия которых истек
Блокировать самоподписанные сертификаты	Блокировка самоподписанных сертификатов
Пользователи	Список пользователей и групп, для которых применяется правило. Могут быть использованы пользователи типа Any, Unknown, Known. Для применения правил к конкретным пользователям или к пользователям типа Known необходимо настроить идентификацию пользователей. Подробнее об идентификации пользователей — в разделе «Пользователи и устройства»
Источник	Зона, списки IP-адресов, списки GeoIP-адресов, списки URL источника трафика. Список URL должен включать только имена доменов. Важно! Строки с символом «``» в таких списках не работают (игнорируются). Каждые пять минут UserGate SWG производит разрешение доменных имен в IP-адреса и хранит полученный результат во внутренней кэш-памяти на время жизни DNS-записи. По истечении времени жизни UserGate SWG автоматически обновляет значение IP-адреса. Важно!* Количество указанных GeoIP не может быть больше 15. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов или доменов
Адрес назначения	Списки IP-адресов назначения трафика. Важно! Количество указанных GeoIP не может быть больше 15. Обработка трафика происходит по следующей логике: условия объединяются по ИЛИ, если указаны несколько списков IP-адресов или доменов; условия объединяются по И, если указаны GeoIP и списки IP-адресов или доменов. Подробнее о работе со списками IP-адресов — в разделе «IP-адреса»
Сервисы	Сервис, для которого необходимо дешифровать трафик
Категории	Списки категорий UserGate URL filtering 4.0
Домены	Списки доменов. Доменные имена, для которых применяется правило. Доменные имена создаются как списки URL за исключением того, что для инспектирования HTTPS могут быть использованы только доменные имена (www.example.com, а не http://www.example.com/home/). Подробнее о работе со списками URL — в разделе «Списки URL»
Время	Интервал активности правила. Вы можете добавлять необходимые временные интервалы в разделе «Календари»
Использование	Статистика срабатывания правила: общее количество срабатываний, время первого и последнего срабатываний. Чтобы сбросить счетчик срабатываний, выделите правила в списке и нажмите Сбросить счетчики
История	Время создания и последнего изменения правила, а также записи журнала событий, относящиеся к этому правилу

По умолчанию создано правило инспектирования «SSL Decrypt all for unknown users», которое необходимо для аутентификации неизвестных пользователей через Captive-портал.