管理 SSL 规则

您可以使用SSL 规则配置加密连接的处理。

SSL 规则允许您根据以下条件选择应用程序对 SSL 连接执行的操作：

• 连接源（IP 地址或用户代理）
• 连接目标（IP 地址或主机名）
• 连接目标端口

您可以在一个 SSL 规则中使用一个或多个条件，且与逻辑运算符 AND/OR 结合使用。

所有 SSL 规则显示在 SSL 规则 表中。按其在表中的位置顺序从上到下进行检查。如果不满足规则中定义的条件，应用程序将执行下一个规则。一旦规则中指定的条件得到满足，该规则中指定的处理参数将被应用到 SSL 连接，并进一步停止条件匹配。您可以通过在 SSL 规则 表中移动 SSL 规则来修改 SSL 规则的应用顺序。

创建 SSL 规则

要创建 SSL 规则：

1. 在应用程序 web 界面中，选择 设置 → 内置代理服务器 → SSL 规则 区域。
2. 单击 添加规则。

   添加规则 窗口将打开。

3. 在 操作 下拉列表中，选择应用程序将在 SSL 连接上执行的操作：
   • Tunnel。

     应用程序不会拦截满足定义条件的 CONNECT 请求。这些请求不会在 仪表板 区域中有关处理的流量的统计信息中考虑。

     它还可能无法在访问规则中应用保护规则和以下筛选条件：HTTP 消息的 MIME 类型、HTTP 消息部分的 MIME 类型、File size、HTTP 方法。

   • Tunnel with SNI check。

     应用程序不会拦截满足定义的条件并为其执行

     SNI

     传输需要建立连接的网站名称的 TLS 协议的扩展。当通过 HTTPS 协议运行的多个服务由同一物理服务器托管并使用相同的 IP 地址，但每个服务都有自己的安全证书时，SNI 是必需的。

     检查的 CONNECT 请求。这些请求不会在 仪表板 区域中有关处理的流量的统计信息中考虑。

     它还可能无法在访问规则中应用保护规则和以下筛选条件：HTTP 消息的 MIME 类型、HTTP 消息部分的 MIME 类型、File size、HTTP 方法。

   • Bump。

     应用程序将拦截满足定义条件的 CONNECT 请求，并分析加密连接的内容。

   • Terminate。

     应用程序将阻止满足定义条件的 CONNECT 请求。

   对于不支持拦截 CONNECT 请求的服务，建议选择 Tunnel 操作。应用 Bump 和 Tunnel with SNI check 操作时，SSL 连接可能会由于截取错误而被阻止。

   默认情况下定义定义的 Tunnel 操作。

4. 在 源 设置组，单击 添加。
5. 在出现的下拉列表中，选择连接源的筛选条件：
   • IP 地址。

     如果您选择 IP 地址 作为筛选条件：

     1. 在下拉列表右侧的字段中，单击条目区域。

        IP 地址 窗口将打开。

     2. 输入一个或多个 IP 地址。

        您可以指定以下格式之一的 IP 地址：

        • IPv4 地址（例如，172.16.5.6）。
        • 在 CIDR 标记中带掩码的 Ipv4 子网地址（例如，192.168.1.0/24）。
        • IPv6 地址（例如，2001:0db8:85a3:0000:0000:8a2e:0370:7334）。
        • 在 CIDR 标记中带掩码的 IPv6 子网地址（例如，fc00::/7）。

        指定多个 IP 地址时，用分号或新行将其隔开。

     3. 单击 添加。

        添加的 IP 地址显示在条目字段下方的表中。如果输入有效格式的值， 图标将显示在其左侧。您可以使用行右侧的 按钮修改此地址。

     4. 单击 保存。
   • User agent。

     如果选择 User agent 作为筛选条件，请在下拉列表右侧的字段中输入其名称。

     指定多个值时，将其用分号隔开。

6. 在 目标 设置组，单击 添加。
7. 在出现的下拉列表中，选择连接目标的筛选条件：
   • IP 地址。

     如果您选择 IP 地址 作为筛选条件：

     1. 在下拉列表右侧的字段中，单击条目区域。

        IP 地址 窗口将打开。

     2. 输入一个或多个 IP 地址。

        您可以指定以下格式之一的 IP 地址：

        • IPv4 地址（例如，172.16.5.6）。
        • 在 CIDR 标记中带掩码的 Ipv4 子网地址（例如，192.168.1.0/24）。
        • IPv6 地址（例如，2001:0db8:85a3:0000:0000:8a2e:0370:7334）。
        • 在 CIDR 标记中带掩码的 IPv6 子网地址（例如，fc00::/7）。

        指定多个 IP 地址时，用分号或新行将其隔开。

     3. 单击 添加。

        添加的 IP 地址显示在条目字段下方的表中。如果输入有效格式的值， 图标将显示在其左侧。您可以使用行右侧的 按钮修改此地址。

     4. 单击 保存。
   • 主机名。

     如果您选择 主机名 作为筛选条件：

     1. 在下拉列表右侧的字段中，单击条目区域。

        主机名 窗口将打开。

     2. 输入一个或多个主机名。

        指定多个名称时，用分号或新行将其隔开。

        要启用子域,请使用值开头的点。在此情况下，您不可以指定子域为个别记录，因为这些记录可能会导致代理服务器错误。例如，如果您指明是 .example.org，则不应该添加记录 abc.example.org。

     3. 单击 添加。

        添加的主机名显示在条目字段下方的表中。

     4. 如果想要筛选器包含指定名称的所有子域，请选择 包括子域 复选框。

        如果在值的开头输入了带有点的主机名，则将自动选中 包括子域 复选框。

     5. 单击 保存。
8. 在 端口 字段中，输入一个或多个目标端口。

   该规则将仅应用于使用已定义端口的连接。

9. 在 名称 框中，输入规则名称。
10. 如有必要，在 注释 字段中提供有关工作的其他信息。
11. 通过使用 状态 切换开关启用或禁用规则的使用。
12. 单击 添加。

SSL 规则将创建并显示在 SSL 规则 选项卡上的表中。

查看有关 SSL 规则的信息

要查看有关 SSL 规则的信息：

1. 在应用程序 web 界面中，选择 设置 → 内置代理服务器 → SSL 规则 区域。
2. 在 SSL 规则表中，选择要查看其信息的规则。

   查看规则 窗口将打开。

窗口显示以下信息：

• 状态 是 SSL 规则的使用状态。
• 操作 是应用程序对满足定义的筛选条件的 SSL 连接执行的操作。
• 端口 是目标端口。
• 名称 是 SSL 规则的名称。
• 注释 是创建 SSL 规则时提供的其他信息。

编辑 SSL 规则

要修改 SSL 规则：

1. 在应用程序 web 界面中，选择 设置 → 内置代理服务器 → SSL 规则 区域。
2. 在 SSL 规则表中，选择您要修改其设置的规则。

   查看规则 窗口将打开。

3. 单击 编辑。

   编辑规则 窗口将打开。

4. 进行相关更改。
5. 单击 保存。

将修改 SSL 规则。

启用和禁用 SSL 规则

要启用或禁用 SSL 规则：

1. 在应用程序 web 界面中，选择 设置 → 内置代理服务器 → SSL 规则 区域。
2. 在 SSL 规则表中，选择要启用或禁用的规则。

   查看规则 窗口将打开。

3. 单击 启用 或 禁用 以启用或禁用 SSL 规则。
4. 单击 保存。

将启用或禁用 SSL 规则。

更改应用的 SSL 规则的顺序

SSL 规则按其在表中的位置顺序从上到下进行检查。如果不满足规则中定义的条件，应用程序将执行下一个规则。一旦规则中指定的条件得到满足，该规则中指定的处理参数将被应用到 SSL 连接，并进一步停止条件匹配。

您可以通过移动表中的规则条目来修改 SSL 规则的应用程序的顺序。

要更改 SSL 规则应用的顺序：

1. 在应用程序 web 界面中，选择 设置 → 内置代理服务器 → SSL 规则 区域。
2. 在 SSL 规则表中，单击要更改其位置的行左侧的 图标，然后向上或向下拖动包含 SSL 规则条目的行。
3. 单击 保存。

应用 SSL 规则的顺序将更改。

删除 SSL 规则

要删除 SSL 规则：

1. 在应用程序 web 界面中，选择 设置 → 内置代理服务器 → SSL 规则 区域。
2. 在 SSL 规则表中，选择您想要删除的规则。

   查看规则 窗口将打开。

3. 单击 删除。
4. 在确认窗口，单击 是。

将删除 SSL 规则。