在当前的互联网通信中，大部分 Web 访问及云应用均采用 HTTPS 加密协议。由于加密机制保护了数据报文的内容，安全 Web 网关（SWG）默认无法获取加密流量内部的具体信息（如请求路径、网页关键字、上传的文件内容等）。
SSL 解密策略用于定义 SWG 对 HTTPS 流量的处理方式。在未配置任何 SSL 解密策略时，系统默认不对 HTTPS 流量执行解密处理。管理员通过配置此策略，可针对性地对特定业务流量执行解密审计、连接层安全校验或连接阻断。

功能作用 #

• 实现内容可见性：对加密流量执行 SSL/TLS 解密，使系统能够识别加密报文内部的请求路径、网页关键字、上传/下载的文件内容等深度信息。
• 优化性能负载：针对高负载或受信任的流量（如视频会议、大文件下载）配置不解密规则，降低网关 CPU 消耗并保障业务可用性。
• 执行连接层校验：在 TLS 建立阶段检测目标服务器的证书状态与协议版本，拦截存在安全缺陷（如证书过期、TLS 1.0/1.1 协议）的访问请求。

执行判断机制 #

飞连 SWG 对 HTTPS 流量是否执行解密，遵循以下底层逻辑判断顺序：

1. 显式 SSL 策略判断（最高优先级）
   当一条流量进入网关时，系统首先检查其是否命中了管理员配置的 SSL 解密策略。
   • 如果命中，则严格按照该策略的设定动作执行（解密、不解密或禁止访问）。
2. 隐式业务驱动解密（默认兜底机制）
   如果该流量没有命中任何 SSL 解密策略，系统将继续检查该流量是否命中了网站内容过滤、云应用管控或威胁防护中配置的管控范围（例如该域名被包含在某个过滤策略的分类中）。
   • 在管控范围内：系统将默认自动解密该流量，以确保业务安全策略（如关键字识别、恶意代码扫描）能够提取明文进行检测。
   • 不在管控范围内：系统将默认不解密该流量，直接以加密状态安全转发，以保护隐私并节省网关算力。

示例说明：
假设“社交媒体”分类被配置在网站内容过滤策略中，但您没有为该分类配置任何 SSL 策略。当员工访问微博时，系统会触发隐式机制，自动解密该流量并进行审计。
如果您在 SSL 解密策略中专门为“微博”配置了一条“不解密”规则，由于显式策略优先级最高，系统将不解密该流量。此时网站过滤功能将只能基于域名（无法基于具体 URL 路径或内容）执行动作。

前置条件 #

已参考配置引流策略说明，完成以下配置：

1. 已配置引流策略，确保流量经过 SWG 隧道。
2. 已配置企业根证书，使 SWG 具备解密 HTTPS 加密流量的能力。

新增 SSL 解密策略 #

1. 登录飞连管理后台，前往安全 Web 网关 > SSL 解密策略。
2. 点击页面右上角的 + 添加策略。
   
3. 根据业务需求配置参数。

   • 基本信息

     配置项	说明
     策略名称	自定义名称，用于标识该策略，如“视频会议不解密策略”。
     优先级	通过滑动条或直接输入数值设置（0 - 100）。数值越大，优先级越高。若优先级数值相同，系统将按添加时间排序，最新添加/编辑的策略优先级更高。

   • 执行规则

     配置项	说明
     解密	系统将对匹配的 TLS 流量执行解密处理，以获取明文数据。同时可基于数字证书的属性建立前置的安全合规性校验规则。 开启证书校验开关后，系统将在 TLS 连接建立阶段（握手阶段）执行安全性检测。若目标服务器证书未通过以下选定的校验类型，系统将直接执行拦截。 证书不可信：系统将验证目标服务器证书的颁发机构。若证书非受信任的权威机构签发，或证书链不完整，系统将拦截该次连接。 撤销检查：系统通过 OCSP（在线证书状态协议）核实证书是否已被颁发机构撤销。 撤销检查超时设置：设置查询等待时间（单位：秒）。若在设定时间内未收到撤销状态响应，系统默认判定为通过，以避免因网络波动导致正常业务中断。 证书版本：强制要求连接过程中使用的加密协议版本。若实际版本低于设定值，系统将拦截连接。 客户端证书最小版本：限制终端发起的协议版本。 服务端证书最小版本：限制目标网站服务器支持的协议版本。
     不解密	系统不对流量执行解密处理，流量以加密状态转发。
     禁止访问	直接阻断访问，并在用户客户端弹窗告警。

   • 管控资源
     点击 + 添加条件，定义该策略生效的地址或应用范围。支持直接引用系统设置 > 资源管理 > 资源库 > 应用识别库或网站分类库中内置或自定义资源，也支持手动输入自定义域名。注意：精准域名匹配优先级高于泛域名匹配（如 mail.google.com 优于 *.google.com）。

   • 生效对象
     选择该策略适用的员工、部门或特定设备。支持通过“排除对象”进行细化豁免。

4. 点击确认完成配置。

策略匹配机制与运维管理 #

策略匹配机制 #

在遵循前文执行判断机制所述底层逻辑的基础之上，SSL 解密策略列表遵循严格的层级匹配逻辑。系统在处理访问请求时，会根据资源的来源类型（资源库分类或用户自定义）采用不同的判定路径：

• 路径 A：资源库（应用识别库/网站分类库）
  1. 若在管控资源中勾选了系统资源库内的资源分类，系统遵循资源精确度优先逻辑，及命中精准域名的策略（如 mail.google.com）优于命中泛域名的策略（如 *.google.com）。
     • 示例：以下两条策略中，即使策略 B 的数值优先级更高，但由于其管控资源为精准域名，因此系统仍将对 mail.google.com 执行解密动作。
       • 策略 A：优先级 100 的 *.google.com 不解密策略。
       • 策略 B：优先级 90 的 mail.google.com 解密策略。
  2. 在资源精确度相同的前提下，系统再根据策略的优先级数值进行匹配。数值越大，匹配优先级越高；若优先级数值相同，则最新创建/编辑的策略优先级更高。
• 路径 B：自定义资源（自定义地址 > 域名地址）
  若在管控资源中通过自定义地址 > 域名地址手动输入域名列表，系统将跳过资源精确度匹配，直接进入策略优先级匹配阶段。

日常策略运维 #

在 SSL 解密策略主页面，管理员可以对策略进行全生命周期管理。

• 多维搜索与筛选：支持通过策略名称、人员/部门/角色、设备信息、IP 地址以及执行动作的组合筛选，快速定位目标策略。
• 管理策略状态：在列表右侧操作栏中，可通过开关一键启用或禁用单条策略。禁用状态下的策略将不参与上述匹配逻辑。
• 编辑：点击操作栏的编辑，可对现有策略的所有参数进行修改。修改保存后，新规则将立即下发至 SWG 节点。
• 删除：点击操作栏的删除，或勾选多条策略后，点击左下角的批量删除，移除不再需要的策略。

审计与日志说明 #

为了保持审计维度的统一性，SSL 解密过程本身不生成独立的审计日志。SSL 解密策略的命中情况及其对应的解密/阻断结果，将根据管控资源的类型不同，分别记录在网站内容过滤 > 访问事件记录，或云应用管控 > 访问事件记录/ DLP 事件记录中。