Cisco Cisco Firepower Management Center 4000 User Guide
第
章
19-1
FireSIGHT 系统用户指南
19
了解流量解密
默认情况下,系统无法检查采用安全套接字层 (SSL) 或传输层安全 (TLS) 协议加密的流量。作为
访问控制的一部分, SSL 检查功能可供您阻止已加密流量而不进行检查,或者使用访问控制检查
已加密或解密的流量。系统在处理已加密会话时会记录流量的详细信息。检查已加密流量与分析
已加密会话数据双管齐下,可以更好地了解和控制网络中的已加密应用和流量。
访问控制的一部分, SSL 检查功能可供您阻止已加密流量而不进行检查,或者使用访问控制检查
已加密或解密的流量。系统在处理已加密会话时会记录流量的详细信息。检查已加密流量与分析
已加密会话数据双管齐下,可以更好地了解和控制网络中的已加密应用和流量。
如果系统检测通过 TCP 连接进行的 SSL 或 TLS 握手,则它将确定是否能解密检测到的流量。如
果不能,则将应用已配置的操作:
果不能,则将应用已配置的操作:
•
阻止已加密流量并选择性重置 TCP 连接
•
不解密已加密的流量
请注意,当 SSL 检查配置允许已加密流量通过或者您不配置 SSL 检查时,访问控制规则处理已加
密流量。但是,某些访问控制规则条件需要未加密流量,因此,已加密流量可能匹配的规则更
少。此外,默认情况下,系统禁用已加密负载的入侵和文件检查。当已加密连接与已配置入侵和
文件检查的访问控制规则相匹配时,这有助于减少误报和提高性能。有关详细信息,请参阅
密流量。但是,某些访问控制规则条件需要未加密流量,因此,已加密流量可能匹配的规则更
少。此外,默认情况下,系统禁用已加密负载的入侵和文件检查。当已加密连接与已配置入侵和
文件检查的访问控制规则相匹配时,这有助于减少误报和提高性能。有关详细信息,请参阅
如果系统能够解密流量,则它将阻止流量而不进行进一步检查、使用访问控制评估未解密流量或
使用以下方法之一解密该流量:
使用以下方法之一解密该流量:
•
采用已知的私钥解密。在外部主机启动与网络上某台服务器的 SSL 握手时,系统将交换的服
务器证书与之前上载至设备的服务器证书相匹配。然后使用上载的私钥解密流量。
务器证书与之前上载至设备的服务器证书相匹配。然后使用上载的私钥解密流量。
•
通过重签服务器证书进行解密。在网络上的某台主机启动与外部服务器的 SSL 握手时,系统
将使用之前上载的证书颁发机构 (CA) 证书重签交换的服务器证书。然后使用上载的私钥解密
流量。
将使用之前上载的证书颁发机构 (CA) 证书重签交换的服务器证书。然后使用上载的私钥解密
流量。
已解密流量将接受与最初未加密流量相同的流量处理和分析:基于网络、信誉和用户的访问控
制,入侵检测和防御,高级恶意软件防护以及发现。如果系统在分析已解密流量后未阻止该流
量,则会重新对其加密,然后再将其传递到目标主机。
制,入侵检测和防御,高级恶意软件防护以及发现。如果系统在分析已解密流量后未阻止该流
量,则会重新对其加密,然后再将其传递到目标主机。
注
有关详细信息,请参阅以下各节:
•
•