Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
19-14
FireSIGHT 系统用户指南
第 19 章 了解流量解密
分析 SSL 检查设备部署
发生接下来的步骤:
1.
用户提交纯文本请求 (
spoof
),将流量修改为像是来自 MedRepo, LLC。客户端加密此 (
FfGgH
)
并将已加密流量发送到保险部门服务器。
2.
受管设备使用通过上载的已知私钥获取的会话密钥将此流量解密为纯文本 (
spoof
)。
访问控制策略继续使用自定义入侵策略处理已解密的流量,且查找欺骗尝试。设备阻止流
量,然后生成入侵事件。设备在会话结束后生成连接事件。
量,然后生成入侵事件。设备在会话结束后生成连接事件。
3.
内部路由器不会接收阻止的流量。
4.
保险部门服务器不会接收阻止的流量。
5.
防御中心接收包含有关已加密和解密流量的信息的连接事件,以及欺骗尝试的入侵事件。
在内联部署中使用重签证书检查特定用户的已加密流量
许可证:可控性
受支持的设备:3 系列
对于从新保险员和初级保险员向 MedRepo 请求部门发送的所有 SSL 加密流量,系统将使用重签
服务器证书来获取会话密钥,然后解密流量并记录连接。合法流量将被允许通过并在发送到
MedRepo 之前重新加密。
服务器证书来获取会话密钥,然后解密流量并记录连接。合法流量将被允许通过并在发送到
MedRepo 之前重新加密。
注
当在内联部署中通过重签服务器证书解密流量时,设备作为中间人。它创建两个 SSL 会话,一个
是客户端与受管设备之间的会话,一个是受管设备与服务器之间的会话。因此,每个会话包含不
同的加密会话详细信息。
是客户端与受管设备之间的会话,一个是受管设备与服务器之间的会话。因此,每个会话包含不
同的加密会话详细信息。
下图说明使用重签服务器证书和私钥解密已加密流量,然后使用访问控制检查流量并阻止已解密
流量的系统。
流量的系统。
发生接下来的步骤:
1.
用户提交纯文本请求 (
help
)。客户端加密此 (
AaBb
) 并将已加密流量发送到请求部门服务器。
2.
内部路由器接收流量并将其路由到请求部门服务器。