Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
21-7
FireSIGHT 系统用户指南
第 21 章 SSL 规则入门
了解和创建 SSL 规则
请注意,虽然您可以使用 3 系列设备控制和检查加密流量,但是使用检测到的应用、 URL 类别或
用户来控制流量需要其他许可证。此外,过于复杂的规则会消耗过多资源,在某些情况下还会阻
止您应用策略。有关详细信息,请参阅
用户来控制流量需要其他许可证。此外,过于复杂的规则会消耗过多资源,在某些情况下还会阻
止您应用策略。有关详细信息,请参阅
使用规则操作确定加密流量处理和检查
许可证:任何环境
受支持的设备:3 系列
每个 SSL 规则都具有对匹配的加密流量确定以下处理的关联操作:
•
处理 - 首先,规则操作管理系统是监控、信任、阻止还是解密与规则条件匹配的加密流量
•
日志记录 - 规则操作确定何时以及如何记录有关匹配的加密流量的详细信息。
SSL 检查配置会处理、检查并记录解密流量:
•
SSL 策略的无法解密的操作处理系统无法解密的流量;请参阅
•
策略的默认操作处理不满足任何非 Monitor SSL 规则的条件的流量;请参阅
Users
按照会话中涉及的用户
根据登录到加密、受监控会话中涉及的主机的 LDAP 用
户,可以控制加密流量。可以根据从 Microsoft Active
Directory 服务器检索的个人用户或组控制流量。要构建用
户条件,请参阅
户,可以控制加密流量。可以根据从 Microsoft Active
Directory 服务器检索的个人用户或组控制流量。要构建用
户条件,请参阅
。
Applications
按照会话中检测到的应用
可以控制对加密会话中单个应用的访问,或者根据基本特
性(类型、风险、业务相关性和类别)过滤访问。要构建应
用条件,请参阅
性(类型、风险、业务相关性和类别)过滤访问。要构建应
用条件,请参阅
。
Categories
按会话中请求的 URL(根据证书主题
可分辨名称)
可分辨名称)
可以根据 URL 的通用分类和风险级别限制网络上的用户可
以访问的网站。要构建 URL 条件,请参阅
以访问的网站。要构建 URL 条件,请参阅
Distinguished
Names
Names
按用于协商加密会话的服务器证书的
主题或颁发者可分辨名称
主题或颁发者可分辨名称
可以根据颁发服务器证书的 CA 或服务器证书持有者来控
制加密流量。要构建可分辨名称条件,请参阅
制加密流量。要构建可分辨名称条件,请参阅
Certificates
按用于协商加密会话的服务器证书
可以根据为协商加密会话而传递到用户浏览器的服务器证
书来控制加密流量。要构建证书条件,请参阅
书来控制加密流量。要构建证书条件,请参阅
。
Certificate Status 按用于协商加密会话的服务器证书的
属性
可以根据服务器证书的状态来控制加密流量。要构建证书状
态条件,请参阅
态条件,请参阅
。
Cipher Suites
按用于协商加密会话的密码套件
可以根据由服务器选择用于协商加密会话的密码套件来控
制加密流量。要构建密码套件条件,请参阅
制加密流量。要构建密码套件条件,请参阅
Versions
按用于加密会话的 SSL 或 TLS 的版本 可以根据用于加密会话的 SSL 或 TLS 的版本来控制加密流
。
表
21-1
SSL
规则条件类型(续)
此条件......
与加密流量相匹配......
详细信息