Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
21-16
FireSIGHT 系统用户指南
第 21 章 SSL 规则入门
管理策略中的 SSL 规则
任何类型的规则条件都可以争抢后续规则。例如,以下的第一个规则中的 VLAN 范围包含第二个
规则中的 VLAN,因此第一个规则将争抢第二个规则:
规则中的 VLAN,因此第一个规则将争抢第二个规则:
Rule 1: do not decrypt VLAN 22-33
Rule 2: block VLAN 27
在以下示例中, Rule 1 匹配所有 VLAN,因为没有配置 VLAN,因此 Rule 1 会争抢尝试匹配
VLAN 2 的 Rule 2:
VLAN 2 的 Rule 2:
Rule 1: do not decrypt Source Network 10.4.0.2/16
Rule 2: do not decrypt Source Network 10.4.0.2/16, VLAN 2
规则还会争抢所有配置条件都相同的完全一样的后续规则。例如:
Rule 1: do not decrypt VLAN 1 URL www.example.com
Rule 2: do not decrypt VLAN 1 URL www.example.com
如果任何条件不同,则不会争抢后续规则。例如:
Rule 1: do not decrypt VLAN 1 URL www.example.com
Rule 2: do not decrypt VLAN 2 URL www.example.com
了解无效配置警告
因为 SSL 策略所依赖的外部设置可能会变化,因此原先有效的 SSL 策略可能会变得无效。请考虑
以下示例:
以下示例:
•
包含 URL 类别条件的规则可能有效,直至定位到没有 URL 过滤许可证的设备为止。此时,
在规则旁边会显示错误图标,并且您无法将策略应用于该设备,直至编辑或删除该规则、重
新设置策略目标或者启用适当的许可证为止。
在规则旁边会显示错误图标,并且您无法将策略应用于该设备,直至编辑或删除该规则、重
新设置策略目标或者启用适当的许可证为止。
•
如果创建 Decrypt-Resign 规则,然后向区域条件中添加具有被动接口的安全区域,则系统会
在该规则旁边显示警告图标。由于无法通过在被动部署中对证书重新签名来解密流量,因此
规则不会生效,直至从规则中移除被动接口或更改规则操作为止。
在该规则旁边显示警告图标。由于无法通过在被动部署中对证书重新签名来解密流量,因此
规则不会生效,直至从规则中移除被动接口或更改规则操作为止。
•
如果向规则中添加用户,然后更改 LDAP 用户感知设置以排除该用户,则该规则将不生效,
因为用户不再是受访问控制的用户。
因为用户不再是受访问控制的用户。
对 SSL 规则进行排序以提高性能和避免争抢
许可证:任何环境
受支持的设备:3 系列
SSL 策略中的规则从 1 开始进行编号。系统按升序规则编号自上而下将流量与规则相匹配。除
Monitor 规则以外,流量匹配的第一个规则是处理该流量的规则。
Monitor 规则以外,流量匹配的第一个规则是处理该流量的规则。
正确的 SSL 规则顺序可减少处理网络流量所需的资源,并防止规则争抢。虽然创建的规则对于每
个组织和部署而言都是唯一的,但在对可以优化性能的规则进行排序并仍然满足需求时,可以遵
循一些通用准则。
个组织和部署而言都是唯一的,但在对可以优化性能的规则进行排序并仍然满足需求时,可以遵
循一些通用准则。
按重要性从高到低对规则进行排序
首先,必须对规则进行排序以满足组织的需求。将必须应用于所有流量的优先级规则放置在靠近
策略顶部的位置。例如,如果要将来自单个用户的传出流量解密以进一步分析 (使用
Decrypt-Resign 规则),但是不解密来自部门中所有其他用户的流量 (使用 Do not decrypt 规
则),请按该顺序放置这两个 SSL 规则。
策略顶部的位置。例如,如果要将来自单个用户的传出流量解密以进一步分析 (使用
Decrypt-Resign 规则),但是不解密来自部门中所有其他用户的流量 (使用 Do not decrypt 规
则),请按该顺序放置这两个 SSL 规则。
从特定到通用对规则进行排序
可以通过将特定规则 (即,狭义定义其处理的流量的规则)放置在前来提高性能。这也非常重
要,因为具有广泛条件的规则可匹配许多不同类型的流量,并且以后可以争抢更具体的规则。
要,因为具有广泛条件的规则可匹配许多不同类型的流量,并且以后可以争抢更具体的规则。