检测模式
2026/1/16SSL/SSH 检测7.X.X大约 3 分钟
检测模式
SSL(Secure Sockets Layer)内容扫描与检查功能用于对加密流量执行安全检测,使系统能够在 SSL/TLS 加密通信中应用 IPS、AV、Web Filter 等安全功能。
SSL/SSH 检测配置文件可直接应用于防火墙策略中。FortiOS 默认内置四种 SSL/SSH 检测配置文件,其中三种为只读配置,可被克隆并修改使用:
- certificate-inspection(只读,可克隆)
- deep-inspection(只读,可克隆)
- no-inspection(只读,可克隆)
- custom-deep-inspection(可编辑)
SSL/SSH 检测配置文件通常应用于出口防火墙策略,适用于目标地址不明确的流量场景。根据策略需求,可配置以下检查参数:
- 用于解密 SSL 加密流量的 CA 证书
- 参与检查的 SSL 协议类型
- 各 SSL 协议对应的检测端口
- 是否允许无效 SSL 证书
- 是否对 SSH 流量执行检查
- 可绕过 SSL 检查的地址或 Web 分类白名单
检测模式对比
在实际策略应用中,主要关注以下三种模式:no-inspection、certificate-inspection、deep-inspection。它们的差异核心在于:是否解密流量、可获取的信息深度、对业务/性能的影响。
certificate-inspection
- 工作方式:不解密业务内容,仅检查 TLS 握手阶段的证书与部分协议特征,防火墙策略中的默认配置。
- 可见信息:服务器证书、证书链、有效期、签发者、以及部分 TLS 握手信息(例如 SNI 等)。
- 能力与限制:
- 可基于证书可信性/异常证书进行阻断或告警(例如过期、吊销、校验失败等)。
- 相比 deep-inspection,对性能影响更小、对业务兼容性更高。
- 由于不解密载荷,无法对加密内容(如 HTTPS)执行深度的 AV/IPS/Web Filter 等检测。
- 典型场景:大多数通用出口流量的“轻量检测”、对业务敏感但仍希望拦截恶意/异常证书的网站。
no-inspection
- 工作方式:不对 SSL/TLS 流量进行检查与解密,流量保持端到端加密直通。
- 可见信息:仅检查/记录最基础的连接层信息(如源/目的 IP、端口、会话信息等)。
- 能力与限制:
- 无法对加密内容执行 AV/IPS/Web Filter 等基于内容的检测。
- 适用于对隐私/合规要求极高或无法安装证书的场景。
- 典型场景:银行/医疗等敏感业务、第三方应用不允许解密、故障排查期间临时放行等。
deep-inspection
- 工作方式:对 SSL/TLS 流量进行“中间人解密”与重签名,解密后将明文交给安全引擎检测,再重新加密转发。通常需要在终端侧部署并信任 FortiGate(或自颁发) 的 CA 证书。
- 可见信息:完整的应用层内容(HTTP/HTTPS 内容、文件下载内容、URL/Host 等更完整的特征)。
- 能力与限制:
- 可对加密流量应用 AV/IPS/Web Filter/DLP 等内容级检测,安全能力最强。
- 对性能消耗更大,并可能影响某些对证书绑定/校验严格的应用(需通过白名单/例外策略保障兼容性)。
- 需要每个终端信任 CA 证书,否则可能出现证书告警或连接失败。
- 要求“中间人解密”与重签名的证书必须是 CA 证书或 Sub CA 证书,不能使用用户证书。
- 典型场景:对外网访问需要强安全管控的办公终端、重点部门出网、对下载/恶意网站拦截要求高的环境。
配置建议
- certificate-inspection:当希望兼顾安全与兼容性/性能,且主要关注证书异常与基础风险控制时。大部分情况下推荐此配置(防火墙策略中的默认配置)。
- no-inspection:当业务明确要求不解密、或对解密高度敏感/不具备终端证书部署条件时。
- deep-inspection:当组织允许终端部署证书、且需要最大化加密流量可视化与防护能力时。