Cisco Cisco Firepower Management Center 2000 Betriebsanweisung
22-7
FireSIGHT 系统用户指南
第 22 章 使用 SSL 规则调整流量解密
根据用户控制加密流量
•
要搜索将添加的基于 TCP 的端口对象和组,请点击
Available Ports
列表上方的
Search by name or
value
提示,然后键入对象的名称或对象中端口的值。列表会在您键入内容时进行更新,以显
示匹配对象。例如,如果键入 443,防御中心将显示系统提供的 HTTPS 端口对象。
要选择基于 TCP 的端口对象,请点击该对象。要选择多个基于 TCP 的端口对象,请使用 Shift 和
Ctrl 键,或者右键单击,然后选择
Ctrl 键,或者右键单击,然后选择
Select All
。如果对象包含不是基于 TCP 的端口,则无法将其添
加到端口条件中。
步骤 4
点击
Add to Source
或
Add to Destination
将所选对象添加到相应的列表。
您也可以拖放所选对象。
步骤 5
在
Selected Source Ports
或
Selected Destination Ports
列表下输入
端口
,以手动指定源或目标端口。您可
以使用 0 到 65535 范围中的一个值指定单一端口。
步骤 6
点击
Add
。
请注意,防御中心不会向导致配置无效的规则条件中添加端口。
步骤 7
保存或继续编辑规则。
必须应用与 SSL 策略关联的访问控制策略以使更改生效;请参阅
根据用户控制加密流量
许可证:可控性
受支持的设备:3 系列
您可以将 SSL 规则配置为与从 Microsoft Active Directory 服务器检索到的用户的流量相匹配。通
过 SSL 规则中的用户条件,可以根据登录到主机的 LDAP 用户限制流量,从而执行用户控制,以
管理哪些流量可以穿越网络。
过 SSL 规则中的用户条件,可以根据登录到主机的 LDAP 用户限制流量,从而执行用户控制,以
管理哪些流量可以穿越网络。
用户控制的工作原理是将
受访问控制的用户与 IP 地址相关联。当指定的用户登录和注销主机或因
其他原因使用 Active Directory 凭证进行身份验证时,已部署的代理监控这些用户。例如,您的组
织可以使用依赖于 Active Directory 的服务或应用进行集中身份验证。
织可以使用依赖于 Active Directory 的服务或应用进行集中身份验证。
为使流量与具有用户条件的 SSL 规则相匹配,受监控会话中的源或目标主机的 IP 地址必须与已
登录的受访问控制的用户相关联。可以根据个人用户或这些用户所属的组来控制流量。
登录的受访问控制的用户相关联。可以根据个人用户或这些用户所属的组来控制流量。
可以将用户条件相互结合以及与其他类型的条件结合来创建 SSL 规则。这些规则可以简单也可以
复杂,使用多个条件来匹配和检查流量。有关 SSL 规则的详细信息,请参阅
复杂,使用多个条件来匹配和检查流量。有关 SSL 规则的详细信息,请参阅
。
用户控制需要可控性许可证,并且仅支持用于 LDAP 用户和组 (受访问控制的用户),使用由监
控 Microsoft Active Directory 服务器的用户代理报告的登录和注销记录。
控 Microsoft Active Directory 服务器的用户代理报告的登录和注销记录。
在编写具有用户条件的 SSL 规则之前,必须在防御中心和您的组织的至少一个 Microsoft Active
Directory 服务器之间配置连接。该配置 (称为身份验证对象)包含服务器的连接设置和身份验
证过滤器设置。它还指定可在用户条件中使用的用户。有关详细信息,请参阅
Directory 服务器之间配置连接。该配置 (称为身份验证对象)包含服务器的连接设置和身份验
证过滤器设置。它还指定可在用户条件中使用的用户。有关详细信息,请参阅
此外,您还必须安装用户代理。在用户对活动目录证书进行验证时,代理监控这些用户,并将用户
登录记录发送至防御中心。这些记录将用户与 IP 地址相关联,从而使具有用户条件的 SSL 规则得
以触发。有关详细信息,请参阅
登录记录发送至防御中心。这些记录将用户与 IP 地址相关联,从而使具有用户条件的 SSL 规则得
以触发。有关详细信息,请参阅