Вы можете создать до 1024 правил расшифровки. При достижении этого ограничения отображается предупреждение.
Чтобы создать правило расшифровки:
В главном меню Консоли Open Single Management Platform перейдите в раздел Приложения и сервисы → NGFW.
Откроется вкладка Политика.
В разделе Инспектирование SSL выберите Правила расшифровки.
В верхней части рабочей области нажмите на кнопку Создать.
Откроется окно создания правила расшифровки.
Новому правилу автоматически присваивается уникальный номер – UUID.
Перейдите в раздел Общее и выполните следующие действия:
Если вы хотите применить правило сразу после добавления, оставьте переключатель Статус в положении Вкл. Чтобы правило не применялось, установите переключатель в положение Выкл. По умолчанию переключатель установлен в положение Вкл.
В поле Название введите название нового правила.
Название правила должно быть уникальным в списке правил. Максимальная длина – 128 символов.
При необходимости в поле Описание введите произвольное описание правила.
Максимальная длина – 256 символов.
Если вы хотите изменить приоритет создаваемого правила, в поле Приоритет задайте позицию правила в таблице.
По умолчанию правило сохраняется в конце таблицы перед предустановленным правилом.
Выберите действие, которое будет применяться к трафику, соответствующему критериям этого правила:
Расшифровывать – расшифровывать трафик, передаваемый по зашифрованным протоколам.
Не расшифровывать – не расшифровывать трафик, передаваемый по зашифрованным протоколам.
По умолчанию в новом правиле применяется действие Расшифровывать.
Если вы хотите настроить фильтрацию по квалификатору источника, перейдите в раздел Источник и выполните следующие действия:
Настройте параметры квалификатора, выбрав вариант Выбранные.
По умолчанию выбран вариант Все.
Перейдите на вкладку типа источника, который вы хотите добавить:
Адреса. Вы можете добавить и при необходимости изменить существующий адрес, а также создать новый:
Чтобы добавить в правило существующий адрес, установите переключатель рядом с необходимым адресом в положение Вкл. Вы можете изменить существующий адрес, установив флажок рядом с ним и нажав на кнопку Изменить.
Чтобы добавить несколько существующих адресов, установите флажки рядом с нужными адресами и нажмите Использовать в правиле.
Чтобы создать новый адрес, нажмите Создать. Выберите тип адреса: хост, диапазон адресов или подсеть и введите необходимые IP-адреса. Затем нажмите Создать.
Подробнее о создании и изменении адресов см. в разделе о работе с адресами.
Соответствующий адрес отобразится или изменится в списке адресов на вкладке Адреса.
Зоны безопасности. Вы можете добавить и при необходимости изменить существующую зону безопасности, а также создать новую:
Чтобы добавить в правило предустановленную или существующую зону безопасности, установите переключатель рядом с необходимой зоной безопасности в положение Вкл. Вы можете изменить существующую зону безопасности, установив флажок рядом с ней и нажав на кнопку Изменить. Для предустановленных зон безопасности вы можете изменить только описание.
Чтобы добавить несколько существующих зон безопасности, установите флажки рядом с нужными зонами безопасности и нажмите Использовать в правиле.
Чтобы создать новую зону безопасности, нажмите Создать. Введите название и описание. Затем нажмите Создать.
Вы можете добавить в правило не более 1000 зон безопасности.
Соответствующая зона безопасности отобразится или изменится в таблице в разделе Зоны безопасности.
Вы можете добавить только зоны безопасности одного типа – L2 или L3. Если вы добавили в правило одну или несколько зон безопасности одного типа (в разделе Источник или в разделе Назначение), в таблице будут отображаться только зоны безопасности того же типа (например, только зоны типа L2). Зоны другого типа будут скрыты. Вы не сможете добавить их в правило, пока не удалите из правила все зоны безопасности другого типа. Это ограничение применяется, только если вы выбрали вариант Выбранные для настройки параметров квалификатора.
Правило будет применено к трафику только если исходный интерфейс устройства добавлен в зону, указанную в правиле в качестве источника, а целевой интерфейс добавлен в зону, указанную в правиле в качестве назначения.
В одно правило вы можете добавить до 16 записей разных типов.
Если вы хотите настроить фильтрацию по квалификатору назначения, перейдите в раздел Назначение. Настройка параметров адресов и зон безопасности в разделе аналогичны разделу Источник.
В одно правило вы можете добавить до 16 записей разных типов.
Если вы хотите настроить фильтрацию по квалификатору сервисов, перейдите в раздел Сервисы и выполните следующие действия:
Настройте параметры квалификатора, выбрав вариант Выбранные.
По умолчанию выбран вариант Все.
Добавьте из списка существующий сервис, создайте новый или измените существующий:
Чтобы добавить в правило существующий сервис, в строке с необходимым сервисом включите переключатель в столбце Используется в правиле. Вы можете изменить существующий сервис, нажав на его название.
Чтобы добавить несколько существующих сервисов, установите флажки рядом с нужными сервисами и нажмите Использовать в правиле.
Чтобы создать новый сервис, нажмите Создать. Введите название, описание, добавьте необходимый протокол, настройте обязательные параметры протокола и нажмите Создать.
В одно правило вы можете добавить до 16 сервисов.
Подробнее о создании и изменении сервисов см. в разделе Сервисы.
Соответствующий сервис отобразится или изменится в списке сервисов на вкладке Сервисы.
Если в сервис добавлены другие протоколы кроме TCP, эти протоколы будут проигнорированы для правил расшифровки.
Сохраните правило, нажав Создать.
Новое правило будет добавлено в список.
Примените изменения к политике OSMP, нажав на кнопку Применить и отправить.
Новое правило расшифровки не применяется к сессиям, установленным до создания этого правила расшифровки.