Cisco Cisco Firepower Management Center 4000 User Guide
21-3
FireSIGHT 系统用户指南
第 21 章 SSL 规则入门
配置支持检查信息
•
SSL Rule 5: Decrypt - Resign 是最终规则。如果流量与此规则相匹配,则系统使用已上传的
CA 证书对服务器证书重新签名,然后充当中间人解密流量。然后,根据访问控制规则评估
解密流量。访问控制规则以相同方式处理已解密和未加密的流量。作为此额外检查的结果,
系统可以阻止流量。所有剩余流量将被重新加密,才会被传输到目标。与 SSL 规则不匹配的
流量继续根据下一规则进行评估。
CA 证书对服务器证书重新签名,然后充当中间人解密流量。然后,根据访问控制规则评估
解密流量。访问控制规则以相同方式处理已解密和未加密的流量。作为此额外检查的结果,
系统可以阻止流量。所有剩余流量将被重新加密,才会被传输到目标。与 SSL 规则不匹配的
流量继续根据下一规则进行评估。
•
SSL Policy Default Action 处理所有不与任何 SSL 规则相匹配的流量。默认操作为以下两种方
式之一:阻止加密流量,且不进一步检查;不解密流量而允许传输,以进行访问控制检查。
式之一:阻止加密流量,且不进一步检查;不解密流量而允许传输,以进行访问控制检查。
有关详细信息,请参阅以下各节:
•
•
•
配置支持检查信息
许可证:任何环境
您必须创建可重用公共密钥基础设施 (PKI) 对象才能基于加密会话特性控制加密流量并解密加密流
量。可以在将受信任证书颁发机构 (CA) 证书上传到 SSL 策略并创建 SSL 规则条件,以及在此过程
中创建关联对象时随时添加此信息。不过,提前配置这些对象可降低不正确创建对象的几率。
量。可以在将受信任证书颁发机构 (CA) 证书上传到 SSL 策略并创建 SSL 规则条件,以及在此过程
中创建关联对象时随时添加此信息。不过,提前配置这些对象可降低不正确创建对象的几率。
使用证书和配对密钥解密加密流量
如果通过上传用于会话加密的服务器证书和私钥来配置内部证书对象,则系统可以解密传入的加
密流量。如果在包含
密流量。如果在包含
Decrypt - Known Key
操作的 SSL 规则中引用该对象并且流量与该规则相匹配,
则系统会使用上传的私钥来解密会话。
如果通过上传 CA 证书和私钥来配置内部 CA 对象,则系统还可以解密传出流量。如果在包含
Decrypt - Resign
操作的 SSL 规则中引用该对象并且流量与该规则相匹配,则系统会对传递到客户端
浏览器的服务器证书重新签名,然后充当中间人来解密会话。
有关详细信息,请参阅:
•
•
根据加密会话特性控制流量
系统可以根据用于协商会话的密码套件或服务器证书来控制加密流量。您可以从多个不同的可重
用对象中选择一个进行配置,并在 SSL 规则条件中参照该对象来匹配流量。下表介绍可以配置的
不同类型的可重用对象:
用对象中选择一个进行配置,并在 SSL 规则条件中参照该对象来匹配流量。下表介绍可以配置的
不同类型的可重用对象:
如果配置......
可以根据是否存在以下内容控制加密流量......
包含一个或多个密码套件的密码套件列表
用于协商加密会话的密码套件与密码套件列表中的密码套件相匹配
受信任 CA 对象(通过上传组织信任的 CA
证书)
证书)
受信任 CA 根据以下情况来确定是否信任用于加密会话的服务器证书:
•
CA 直接颁发证书
•
CA 向颁发服务器证书的中间 CA 颁发证书
外部证书对象(通过上传服务器证书)
用于加密会话的服务器证书与上传的服务器证书相匹配
包含证书主题或颁发者可分辨名称的可分辨
名称对象
名称对象
用于加密会话的证书上的主题或颁发者通用名称、国家/地区、组织或
组织单位与已配置的可分辨名称相匹配
组织单位与已配置的可分辨名称相匹配