Cisco Cisco Firepower Management Center 4000 Betriebsanweisung
21-10
FireSIGHT 系统用户指南
第 21 章 SSL 规则入门
管理策略中的 SSL 规则
•
在被动或内联(触点模式)部署中无法使用
Decrypt - Resign
操作,因为设备不会直接检查流量。
如果创建具有
Decrypt - Resign
操作的规则,该规则在安全区域中包含被动或内联(触点模式)
接口,则策略编辑器在该规则旁边显示警告图标 (
)。如果 SSL 策略面向具有被动或内联
(触点模式)接口的设备,并且包含
Decrypt - Resign
规则,则系统在该规则旁边显示信息图标
(
)。如果以后向包含被动或内联(触点模式)接口的 SSL 规则中添加区域条件,系统会显示
警告图标 (
)。如果将包含 Decrypt - Resign 规则的 SSL 策略应用于具有被动或内联(触点模
式)接口的设备,则与该规则相匹配的任何 SSL 会话都会失败。
•
如果客户端不信任用于对服务器证书重新签名的 CA,则会警告用户不应信任该证书。为避免此
情况,请将 CA 证书导入到客户端信任的 CA 库。或者,如果组织具有专用 PKI,则可以颁发由根
CA(自动受组织中的所有客户端信任)签名的中级 CA 证书,然后将该 CA 证书上传到设备。
情况,请将 CA 证书导入到客户端信任的 CA 库。或者,如果组织具有专用 PKI,则可以颁发由根
CA(自动受组织中的所有客户端信任)签名的中级 CA 证书,然后将该 CA 证书上传到设备。
•
系统无法解密使用匿名密码套件加密的流量。如果向
Cipher Suite
条件中添加匿名密码套件,
则在 SSL 规则中无法使用
Decrypt - Resign
或
Decrypt - Known Key
操作。
•
如果 HTTP 代理位于客户端和受管设备之间,并且客户端和服务器使用 CONNECT HTTP 方
法建立隧道化 SSL 连接,则系统无法解密流量。
法建立隧道化 SSL 连接,则系统无法解密流量。
Handshake Errors
无法解密操作将决定系统如
何处理此流量。有关详情,请参见
•
创建具有
Decrypt - Known Key
操作的 SSL 规则时,无法使用
Distinguished Name
或
Certificate
条件
进行匹配。此限制基于这样一种假设:如果此规则与流量相匹配,则证书、主题 DN 和颁发
者 DN 已经与规则的关联证书相匹配。有关详细信息,请参阅
者 DN 已经与规则的关联证书相匹配。有关详细信息,请参阅
•
如果创建内部 CA 对象并选择生成证书签名请求 (CSR),那么在将签名证书上传到对象之前,
会无法对
会无法对
Decrypt - Resign
操作使用此 CA。有关详细信息,请参阅
•
如果配置具有
Decrypt - Resign
操作的规则,并且不匹配一个或多个外部证书对象或密码套件的
签名算法类型,则策略编辑器在该规则旁边显示信息图标 (
)。如果不匹配所有外部证书对
象或所有密码套件的签名算法类型,则策略在该规则旁边显示警告图标 (
),并且无法应用
与 SSL 策略相关联的访问控制策略。有关详细信息,请参阅
和
•
如果解密流量与具有
Interactive Block
或
Interactive Block with reset
操作的访问控制规则相匹配,
则系统阻止匹配的连接而不交互,并且系统
不
显示响应页面。
•
如果启用内联规范化预处理器中的
Normalize Excess Payload
选项,则预处理器在规范化解密流
量时,可能会丢弃数据包并将其替换为修整过的数据包。这不会结束 SSL 会话。如果允许流
量,则修整过的数据包会作为 SSL 会话的一部分加密。有关此选项的详细信息,请参阅
量,则修整过的数据包会作为 SSL 会话的一部分加密。有关此选项的详细信息,请参阅
管理策略中的 SSL 规则
许可证:任何环境
受支持的设备:3 系列
通过 SSL 策略编辑器的 Rules 选项卡 (如下图所示),可以添加、编辑、搜索、移动、启用、禁
用、删除和以其他方式管理策略中的 SSL 规则。
用、删除和以其他方式管理策略中的 SSL 规则。