Cisco Cisco Firepower Management Center 4000 User Guide
第
章
20-1
FireSIGHT 系统用户指南
20
SSL 策略使用入门
SSL 策略决定系统如何处理网络上的加密流量。可以配置一个或多个 SSL 策略。您将 SSL 策略与
访问控制策略相关联,然后将访问控制策略应用于受管设备。当设备检测到 TCP 握手时,访问控
制策略首先处理并检查流量。如果它随后识别出通过 TCP 连接建立的 SSL 加密会话,则 SSL 策
略将接管、处理和解密已加密的流量。您当前可以将一个 SSL 策略应用于 3 系列设备。
访问控制策略相关联,然后将访问控制策略应用于受管设备。当设备检测到 TCP 握手时,访问控
制策略首先处理并检查流量。如果它随后识别出通过 TCP 连接建立的 SSL 加密会话,则 SSL 策
略将接管、处理和解密已加密的流量。您当前可以将一个 SSL 策略应用于 3 系列设备。
最简单的 SSL 策略如下图所示,它引导其应用所在设备使用单个默认操作处理已加密的流量。可
将默认操作设置为阻止可解密流量,无需进一步检查,或者使用访问控制检查未解密的可解密流
量。然后系统可以允许或阻止已加密的流量。如果设备检测到无法解密的流量,它会阻止该流
量,无需进一步检查或不对其进行解密,而是使用访问控制对其进行检查。
将默认操作设置为阻止可解密流量,无需进一步检查,或者使用访问控制检查未解密的可解密流
量。然后系统可以允许或阻止已加密的流量。如果设备检测到无法解密的流量,它会阻止该流
量,无需进一步检查或不对其进行解密,而是使用访问控制对其进行检查。
本章介绍如何创建和应用简单 SSL 策略。本章还包含有关管理 SSL 策略的基本信息:编辑、更新
和比较等。有关详细信息,请参阅:
和比较等。有关详细信息,请参阅:
•
•
•
•
•
更为复杂的 SSL 策略可通过不同的操作处理不同类型无法解密的流量,根据证书颁发机构 (CA)
是否颁发或信任加密证书而控制流量,以及使用 SSL 规则对已加密流量的日志记录和处理进行精
细控制。这些规则可能很简单,也可能很复杂,使用多个条件匹配和检查已加密的流量。在创建
基本的 SSL 策略后,有关根据您的部署对其进行定制的详细信息,请参阅以下章节:
是否颁发或信任加密证书而控制流量,以及使用 SSL 规则对已加密流量的日志记录和处理进行精
细控制。这些规则可能很简单,也可能很复杂,使用多个条件匹配和检查已加密的流量。在创建
基本的 SSL 策略后,有关根据您的部署对其进行定制的详细信息,请参阅以下章节:
•
介绍如何配置可重复使用的公钥基础架构 (PKI) 对象和其他 SSL
检查相关对象增强对已加密流量的控制并解密流量。
•
介绍如何配置已加密流量(无论是否可解密)的日志记录。
•
介绍如何将 SSL 策略与访问控制策略相关联。