评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
如何为SSL卸载开放安全策略
SSL卸载场景中,客户端访问服务器的HTTPS业务由防火墙解密,还原为HTTP业务。防火墙充当了SSL代理服务器的角色,负责所有SSL加解密运算,可以减轻服务器的业务负荷。
图11-2 SSL卸载场景示意图
![]()
同七层负载均衡场景一样,SSL卸载场景中,每个客户端的访问都会在防火墙上建立两个会话。不同的是,左侧会话和右侧会话都需要配置安全策略。
- 左侧会话:客户端访问虚服务器的会话。安全策略的目的安全区域为实服务器所在的安全区域,目的IP地址为虚服务器地址。
- 右侧会话:客户端访问实服务器的会话。安全策略的目的安全区域为实服务器所在的安全区域,目的IP地址为实服务器地址。安全策略的源安全区域应指定为客户端所在的安全区域或者Local。
- 在USG6000E V600R007及后续版本、USG6000/USG9500 V500R005C20及后续版本中,右侧会话安全策略的源安全区域应指定为Untrust,即客户端所在的安全区域。
- 在上述版本之前,右侧会话安全策略的源安全区域应指定为Local。
表11-3 安全策略示例-SSL卸载
序号 |
名称 |
源安全区域 |
目的安全区域 |
源地址/地区 |
目的地址/地区 |
服务 |
动作 |
|---|---|---|---|---|---|---|---|
101 |
Allow L7 SLB left session |
untrust |
dmz |
any |
203.0.113.1/32 |
ssl |
permit |
102 |
Allow L7 SLB right session |
untrust1 |
dmz |
any |
10.10.1.1-10.10.1.3 |
http |
permit |
103 |
Allow health check |
local |
dmz |
10.1.1.1/32 |
10.10.1.1-10.10.1.3 |
ICMP2 |
permit |
1:此处以USG6000E V600R007版本为例,指定为客户端所在的安全区域。 2:为防止业务被分配到不能正常工作的服务器上,需要启用服务健康检查,并为探测报文开放安全策略。此处以ICMP为例,详细说明请参考如何为服务健康检查开放安全策略。 |
|||||||
