在防火墙上自动证书管理查找加密 HTTPS 会话中的威胁 - 网安 - 专业的网络安全产业、社区、知识平台

为什么需要证书管理？

首先，让我们了解证书在浏览器和Web服务器之间（例如在银行站点上）之间的信任关系中扮演的角色。我们都知道HTTP不安全，HTTPS是安全的。实际上，HTTPS中的S代表安全。因此，我们的浏览器可以使用锁定图标显示该网站的安全性，并且我们可能已经听到PSA（公共服务公告）来注意未锁定的网站。到目前为止，一切都很好？您是否知道浏览器使用来自Web服务器的经过数字签名的证书，并对照已知信任的证书颁发机构（CA）自己的本地证书存储对其进行检查，以验证证书的真实性？我知道你做到了当浏览器确认Web服务器受信任时，

证书过期后会怎样？

为了证明自己是真实的人，网站所有者必须首先从一个受信任的CA获得网站的数字签名证书。并且需要定期更新证书，这在过去已经引起了一些问题。证书过期后，它将停止工作并在安装该证书的系统上触发中断。
那么，如果证书续签引起了很多问题，为什么我们需要它？经常更换证书可以减少证书容易受到攻击的可能性。实际上，证书的生存期正在减少，因此需要更频繁地进行更新。证书颁发机构/浏览器论坛指南规定，网站至少需要每两年更新或更换其SSL证书一次。某些证书的寿命较短。例如，Let’s Encrypt，一个免费的，开放的证书颁发机构（CA）颁发具有90天有效期的证书。他们之所以认为较短的生存期限制了密钥泄露所造成的损害，例如，由于密钥泄露或被盗将在较短的时间内有效。并且由于“域加密”过程的“加密”过程是自动进行的，

自动化域验证证书更加容易，因为验证过程仅要求网站所有者通过对网站进行更改来证明自己拥有网站。目前，存在三种类型的SSL证书-每种对站点验证的要求都在不断提高。域验证（DV SSL），组织验证（OV SSL）和扩展验证（EV SSL）。后两个需要手动审核过程以证明站点所有权。

如何避免让您的SSL证书过期？

因此，很明显，自动化可以帮助简化具有一个域的小型组织的证书获取，就像域验证证书一样。由Internet安全研究小组（ISRG）为他们的Let’s Encrypt服务设计的自动证书管理环境（ACME）协议可以为不太复杂的环境自动部署。

自动化也是管理具有大型网络和许多连接设备的企业的最佳方法。但是，大型企业的范围可能比“让我们加密”的范围大得多。这是自动进行证书管理，确保Web服务器和防火墙具有有效证书的证书管理工具的位置。Venafi和Check Point无缝协作，以确保浏览器到网站服务器信任链中使用的证书是最新的。

防火墙为什么解密HTTPS连接？

如果HTTPS是安全的，那么为什么防火墙需要解密从浏览器到Web服务器的连接？这是个好问题。我们知道并了解需要在外围安装防火墙以进行基本过滤什么是防火墙？可访问Internet的Web服务器仅需要允许Web流量的指定子集，通常在端口80（HTTP）和端口443（HTTPS）上，并且可以阻止所有可用的TCP（传输控制协议）端口（1-65535）可用，并且1-1023范围内的端口是特权端口）。对于新手来说，可以将Web服务器上的端口视为相当大的公寓大楼中的单个公寓。浏览器请求中的端口号可确保将其传递给正确的用户，或者在这种情况下，将其传递给Web服务器上运行的服务或端口。

当然，这仍然不能回答为什么防火墙需要通过解密数据包以查看加密信封中的内容来打开数据包的问题。简短的答案是防火墙需要进行深度数据包检查以查看客户端是否正在尝试利用Web服务器中的已知漏洞的原因之一。（您可能还需要检查是否有迹象表明恶意证书允许渗透。）简单的基于端口的保护是不够的。

当今的下一代防火墙包括IPS（入侵防御系统），它是一项安全功能，可以检测并阻止尝试利用软件和硬件中的已知漏洞。例如，在Equifax漏洞中，远程攻击者能够远程利用已知的Web服务器上的Apache Struts漏洞，并且已经有相应的补丁程序。在Web服务器上修补应用程序可能可以防止此情况，但是修补需要时间。一旦有补丁，通常就可以检测到攻击的IPS签名。借助可自动更新其IPS签名的嵌入式防火墙，IPS也可以在应用补丁之前防止这些攻击。

防火墙如何解密HTTPS连接？

要解密HTTPS流量，防火墙需要浏览器已知的信任链中的证书。防火墙本质上充当Web服务器的代理，解密浏览器连接，并在需要时从防火墙到Web服务器再次对其进行加密。Venafi提供发现和自动化SSL / TLS密钥和证书的整个生命周期所需的可见性，因此Check Point下一代防火墙始终具有当前的计算机标识，以检查Web流量是否存在威胁。

Venafi和Check Point机器身份管理解决方案如何工作？

用于Check Point的Venafi Adaptable Bulk Provisioning驱动程序可自动执行Check Point入站HTTPS检查策略中使用的SSL / TLS机器身份。证书或机器身份在Check Point中定义为Venafi同步的对象，并自动与Venafi Trust Protection平台中的智能保持同步。

Venafi中的批量供应作业允许按计划或按需自动将符合指定策略的新计算机标识提供给Check Point网关。
即将到期的证书将在证书颁发机构（CA）处自动更新，由Venafi供应给Check Point NGFW，并在Check Point NGFW HTTPS检查策略中应用。
检查策略始终与这些计算机标识的最新版本保持最新，以确保SSL / TLS可见性不存在漏洞，并且永远不会错过加密的威胁。

在防火墙上自动进行证书管理来查找加密HTTPS会话中的威胁

Check Point和Venafi自动化机器身份管理解决方案有什么好处？

Check Point和Venafi一起使由Check Point NGFW保护的组织所使用的关键机器身份的交付和配置完全自动化。

使用来自应用程序的密钥和证书（机器身份）检查TLS流量
保护允许的加密通道
禁止政策禁止的恶意加密频道或互联网使用
自动发现和设置现有机器标识
通过自动分配机器标识来提高检查性能
生成和更新新机器身份时自动分配它们