Cisco Cisco Firepower Management Center 4000 User Guide
19-12
FireSIGHT 系统用户指南
第 19 章 了解流量解密
分析 SSL 检查设备部署
在内联部署中阻止已加密的流量
许可证:任何环境
受支持的设备:3 系列
对于从 LifeIns 的保险部门错误发送到 MedRepo 的客户服务部门的所有 SMTPS 邮件流量,系统在
SSL 握手期间均阻止该流量不进行进一步检查,并记录连接。下图说明阻止已加密流量的系统。
SSL 握手期间均阻止该流量不进行进一步检查,并记录连接。下图说明阻止已加密流量的系统。
发生接下来的步骤:
1.
客户服务部门服务器从客户端浏览器收到建立 SSL 握手的请求后,客户服务部门服务器向
LifeIns 保险员发送服务器证书 (
LifeIns 保险员发送服务器证书 (
cert
) 作为 SSL 握手的下一步。
2.
MedRepo 的路由器接收证书并将其路由到 LifeIns 保险员。
3.
受管设备阻止流量并且不执行进一步检查,然后终止 TCP 连接。设备生成连接事件。
4.
内部路由器不会接收阻止的流量。
5.
保险员不会接收阻止的流量。
6.
防御中心 接收连接事件。
在内联部署中使用私钥检查已加密的流量
许可证:任何环境
受支持的设备:3 系列
对于从 MedRepo 发送到 LifeIns 保险部门的所有 SSL 加密流量,系统将使用上载的服务器私钥来
获取会话密钥,然后解密流量并记录连接。合法流量将被允许通过并在发送到保险部门之前重新
加密。
获取会话密钥,然后解密流量并记录连接。合法流量将被允许通过并在发送到保险部门之前重新
加密。
下图说明使用已知私钥解密已加密流量,然后使用访问控制检查流量并允许已解密流量的系统。