NeXT AI 检查通过 SSL/TLS 解密,拦截加密流量并分析内容,实现安全监控和流量过滤。

如需获取 UniFi 网络与网络安全 能力的完整介绍,请参见此处

如需获取 UniFi 流量与策略管理 能力的完整介绍,请参见此处

要求

  • Enterprise Fortress Gateway(EFG)
  • UXG-Enterprise

包含、排除与隐私影响

NeXT AI 检查允许您灵活便捷地选择需要解密的流量,以满足任何可能存在的本地合规性要求:

  • 指定流量(默认并推荐模式):选择要检测的类别,并可添加需检测的单独域名。选择“搜索引擎”后,可以查看、跟踪并拦截用户搜索查询。
  • 全部流量:检测所有流量,并排除不需检测的域名。该模式下需手动排除包含敏感信息的网站。

指定流量 - 查看、跟踪并阻止查询

在“指定”模式下,当客户端在搜索引擎或 ChatGPT 输入查询时,相关结果会自动出现在检测页面。通过“操作”功能,可对特定查询进行跟踪和阻止,从而防止客户端看到该结果。如果某个查询被跟踪,在检测页面还可以筛选出匹配该查询的客户端流量。

全部流量

当选择“全部”时,随着使用时间推移,通常需要不断新增排除项,因为客户端可能会反馈无法访问某些网站或服务。建议首先排除所有医疗、政府及金融类网站,因为这些通常涉及敏感信息。为避免服务相关的性能和访问问题,Apple、Microsoft 和 Ubiquiti 域名会被自动排除,但如有需要也可以纳入检测。

NeXT AI 流量检测与扫描最佳实践

  1. 理解会话限制:
    • NeXT AI 最多支持 10,000 个并发会话。
    • 一个会话是指浏览器可能发起的具体网络查询。每个浏览器窗口可能同时发起 2 到 30 个查询,因此支持的用户数也会有所不同。
  2. 最佳并发会话数:
    • 为了避免 CPU 负载过高,建议将并发会话数保持在 5,000 或更少。
  3. 选择需要检测的流量:
    • 建议重点检测用户的搜索查询和 ChatGPT 使用情况,以有效管理会话负载。
  4. 流量检测仅限于指定 VLAN:
    • 建议仅在专属于员工设备的 VLAN 上运行 NeXT AI 检查功能。
    • 由于 NeXT AI 需要每台设备都安装证书进行流量检查,因此不建议将来宾设备纳入检测。
  5. 正确配置网络设备:
    • 如网关后连接有 UNVR 或其他 UniFi 控制台,请确保这些设备位于不参与流量检测的 VLAN 上,以避免软件更新出现问题。

遵循上述最佳实践可以优化 NeXT AI 流量检测与扫描的性能和效率。

简单模式、高级模式与 NeXT AI 证书说明

简单模式是配置 NeXT AI 检查最直接的方式,可针对所有或指定网络、所有或特定类型流量进行检测。高级模式则允许使用检测配置文件,每个配置文件可对应不同的网络并配置独立选项。

当 NeXT AI 检查被启用后,无论是作用于所有还是部分网络,客户端的流量会被解密、检查后再用 NeXT AI 检查证书重新加密。UniFi 网关签发的自签名证书需要在每个客户端上安装,否则在访问网站时会弹出安全警告。

注意:即使配置了多个检测配置文件,系统也只会使用同一个 NeXT AI 检查证书。

证书安装

启用 NeXT AI 流量检测后,如果客户端未安装证书,会出现安全警告及访问受限。可以手动安装证书或分发其进行安装。下方为手动安装步骤。

注意:目前无法通过 UniFi Identity 分发证书。

macOS

  1. 将证书下载至客户端的下载目录。
  2. 启动钥匙串访问,选择 System keychain。
  3. 打开 Finder,将证书从下载目录拖入钥匙串访问的证书列表中。
  4. 双击证书展开详情页,并展开信任。
  5. 在使用本证书时选项中,将使用系统默认值改为始终信任。
  6. 重启客户端设备,确保所有应用都能识别新证书。

注意:添加到 Login 密钥链的证书仅对当前用户有效,System 密钥链适用于所有用户。

Windows

  1. 将证书下载至客户端的下载文件夹。
  2. 打开文件资源管理器,双击证书打开详情页。
  3. 选择安装证书,导入到当前用户存储位置。
  4. 选择将所有证书放入以下存储,并浏览选择受信任的根证书颁发机构。
  5. 重启客户端设备,确保所有应用都能识别该证书。

注意:安装在当前用户下的证书仅对该用户有效,本地计算机适用于所有用户。

iOS

  1. 用浏览器从安全位置下载证书。
  2. 点击允许以下载配置描述文件。
  3. 进入设置,点击已下载的描述文件以安装证书*。
  4. 安装完成后,进入通用-关于本机-证书信任设置,打开该证书的完全信任。
  5. 重启客户端设备,确保所有应用能正确识别证书。

*或者,前往通用 - VPN 与设备管理点击已下载的描述文件进行安装。

Android

  1. 将证书下载到设备的内部存储。
  2. 导航到安全和隐私-更多安全设置,点击从设备存储安装-CA 证书,浏览选择证书*。
  3. 通过查看安全证书功能确认证书已正确安装。
  4. 重启客户端,确保所有应用识别证书。

*不同 Android 版本和厂商的证书安装路径可能存在差异。

自定义证书

除了内置的自签名证书外,也可以上传自己的证书到 UniFi 网关。该证书同样会用于重新加密客户端流量,必须在每台客户端设备上安装。

注意:同一时间仅能激活一个证书。