Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 786 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HTTP Profiles and SSL connections

wingman
Hi All

I am trying to achieve the following but for some reason the SSL HTTPS scanning doesn't work as expected

  • All Zone 1 users have HTTPS scanning enabled except two clients
  • DMZ Zone should have only HTTP scanning and different settings (I 've used http profiles)


1)On the Web Security HTTP/S>>Set all allowed networks (Zone 1,DMZ,vpn cisco).HTTPS box is not checked and I have transparent(not full) set as operation mode

Setting HTTP/S Profiles
-------------------------------
2)I've created the following profiles:


  • Two clients(within zone 1) with no HTTP/S (No HTTP/S box checked)--> Two clients filter assignment -->Zone 1 filter action
  • Rest of Zone 1 clients with HTTP/S (HTTP/S box checked)(I manually specified the clients cause it it suggested "select source networks here that are not used in other proxy profiles")--> Zone 1 assignment -->Zone 1 filter action 
  • DMZ with no HTTP/S (HTTP/S box checked)--> DMZ assignment-->DMZ filter action


CA on mmc
-------------------------
I've placed both webadmin and http/s proxy under trusted CA



I can verify that each client is following the correct profile (checked via the logs). However, A client in Zone 1 (https enabled) is unable to scan https traffic (verified by browsing to paypal.com and viewing the certificate and by https://secure.eicar.org/eicar.com.txt)
The issue started this morning (clinet was restarted over night)

Could you please help me with my questions below:

[LIST=1]
  • Bearing in mind what I am trying to achieve,are there HTTP profiles ok or is there a more optimum way?
  • Should I define all the network used, within the global HTTP/S? My understanding is that once defined on the seperate profiles there is no need to redefine it on the global tab 
[/LIST]


PS 1: At the moment none of my clients in zone 1 (second profile rule)are able to scan https traffic.However,when these clients are browsing to the webadmin page I can no certificate warning!
PS 2: Cache SSL content is not enabled
PS 3: There is a packet rule allowing traffic to port 443.

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    Ok issue solved

    It seems that I should have HTTPS enabled on the global tab and if I don't want a specific profile to have HTTPS enabled, I just leave the option on the HTTPS box on the specific profile unchecked

    I also found out that for every certificate related change, I have to disable and enable the proxy HTTP. 

    Thanks guys


    PS I am still facing the issue with ebay.co.uk and ebay.com
Reply
  • 0
    Ok issue solved

    It seems that I should have HTTPS enabled on the global tab and if I don't want a specific profile to have HTTPS enabled, I just leave the option on the HTTPS box on the specific profile unchecked

    I also found out that for every certificate related change, I have to disable and enable the proxy HTTP. 

    Thanks guys


    PS I am still facing the issue with ebay.co.uk and ebay.com
Children
No Data