Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
22-2
FireSIGHT 系统用户指南
第 22 章 使用 SSL 规则调整流量解密
使用基于网络的条件控制加密流量
可以将基于网络的条件相互结合以及与其他类型的条件结合来创建 SSL 规则。这些规则可以简单
也可以复杂,使用多个条件来匹配和检查流量。有关 SSL 规则的详细信息,请参阅
也可以复杂,使用多个条件来匹配和检查流量。有关 SSL 规则的详细信息,请参阅
有关详细信息,请参阅以下各节:
•
•
•
•
按网络区域控制加密流量
许可证:任何环境
受支持的设备:3 系列
通过 SSL 规则中的区域条件,可以按加密流量的源和目标安全区域对其进行控制。
安全区域是一个或多个接口的分组,可位于多个设备之间。在设备的初始设置期间选择的选项
安全区域是一个或多个接口的分组,可位于多个设备之间。在设备的初始设置期间选择的选项
(称为其
检测模式)确定系统最初如何配置设备的接口,以及这些接口是否属于安全区域。
简答举例来说,当您使用
Inline
检测模式注册设备时,防御中心会创建两个区域:Internal 和
External,并将设备上的第一对接口分配到这些区域。连接到 Internal 侧的网络的主机表示受保护
资产。
资产。
要扩展此场景,可以部署其他配置相同的设备 (由同一防御中心管理)来保护若干不同位置中的
类似资源。与第一个设备类似,这些设备中的每个设备都会保护其 Internal 安全区域中的资产。
类似资源。与第一个设备类似,这些设备中的每个设备都会保护其 Internal 安全区域中的资产。
提示
无需将所有内部 (或外部)接口都分组到单个区域中。请选择适合您的部署和安全策略的分组。
有关创建区域的详细信息,请参阅
有关创建区域的详细信息,请参阅
在此部署中,您可以决定,尽管希望这些主机可以不受限制地访问互联网,但是想要通过解密并
检查传入加密流量来保护这些主机。
检查传入加密流量来保护这些主机。
要通过 SSL 检查实现此目的,请配置具有将
Destination Zone
设置为
Internal
的区域条件的 SSL 规
则。此简单 SSL 规则与从 Internal 区域中的任何接口传出设备的流量相匹配。
如果要构建更复杂的规则,可以在单个区域条件中向
Sources Zones
和
Destination Zones
各添加最多
50 个区域:
•
要匹配从区域中的某个接口
传出设备的加密流量,请将该区域添加到
Destination Zones
。
由于被动部署的设备不传输流量,因此无法在
Destination Zone
条件中使用由被动接口组成的
区域。
•
要匹配从区域中的某个接口
传入设备的加密流量,请将该区域添加到
Source Zone
。
如果要向规则中同时添加源和目标区域条件,则匹配流量必须源于其中一个指定的源区域,并且
通过其中一个目标区域流出。
通过其中一个目标区域流出。
请注意,如同区域中的所有接口都必须为相同类型 (全都为内联、全都为被动、全都为交换或全
都为路由)一样, SSL 规则的区域条件中使用的所有区域也都必须为相同类型。也就是说,不能
编写与出入不同类型的区域的加密流量相匹配的单一规则。
都为路由)一样, SSL 规则的区域条件中使用的所有区域也都必须为相同类型。也就是说,不能
编写与出入不同类型的区域的加密流量相匹配的单一规则。
警告图标指示无效配置,例如不包含接口的区域。有关详细信息,请将鼠标指针悬停在图标上方。