Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
22-13
FireSIGHT 系统用户指南
第 22 章 使用 SSL 规则调整流量解密
按信誉控制加密流量
对加密应用控制的限制
许可证:可控性
受支持的设备:3 系列
执行应用控制时,请记住以下要点。
加密应用识别
系统可以识别使用 StartTLS 进行加密的未加密应用。这包括诸如 SMTPS、 POPS、 FTPS、
TelnetS 和 IMAPS 之类的应用。此外,它还可以根据 TLS 客户端问询消息中的服务器名称指示或
服务器证书主题可分辨名称值来识别某些加密应用。
TelnetS 和 IMAPS 之类的应用。此外,它还可以根据 TLS 客户端问询消息中的服务器名称指示或
服务器证书主题可分辨名称值来识别某些加密应用。
应用识别的速度
系统在以下情况之前无法对加密流量执行应用控制:
•
在客户端和服务器之间建立加密连接,并且
•
系统识别加密会话中的应用
此识别发生在服务器证书交换之后。如果在握手期间交换的流量与包含应用条件的 SSL 规则中的
所有其他条件相匹配,但是识别未完成,则 SSL 策略允许数据包通过。此行为允许完成握手,以
便可以识别应用。为方便起见,受影响规则使用信息图标 (
所有其他条件相匹配,但是识别未完成,则 SSL 策略允许数据包通过。此行为允许完成握手,以
便可以识别应用。为方便起见,受影响规则使用信息图标 (
) 进行标记。
在系统完成其识别后,系统将 SSL 规则操作应用于与其应用条件相匹配的剩余会话流量。
自动启用应用检测器
必须为策略中的每个应用规则条件启用至少一个检测器 (请参阅
)。如果没有为应用启用检测器,则系统自动为该应用启用所有系统提供的检测器;如果不存
在检测器,则系统为该应用启用最新修改的用户定义的检测器。
按 URL 类别和信誉控制加密流量
许可证:URL 过滤
受支持的设备:3 系列
通过 SSL 规则中的 URL 条件,可以处理和解密网络上用户可访问的加密网站流量。系统根据
SSL 握手期间传递的信息检测所请求的 URL。通过 URL 过滤许可证,可以根据 URL 的一般分类
或
SSL 握手期间传递的信息检测所请求的 URL。通过 URL 过滤许可证,可以根据 URL 的一般分类
或
类别和风险级别或信誉来控制对网站的访问。
注
可以通过定义可分辨名称 SSL 规则条件来处理和解密发送到特定 URL 的流量。证书的主题可分
辨名称中的公用名属性包含站点的 URL。有关详细信息,请参阅
辨名称中的公用名属性包含站点的 URL。有关详细信息,请参阅
有关详情,请参阅:
•
•