Cisco Cisco Firepower Management Center 4000 User Guide
21-6
FireSIGHT 系统用户指南
第 21 章 SSL 规则入门
了解和创建 SSL 规则
除了按照编号排序规则之外,还可按类别对规则进行分组。默认情况下,系统提供三个类别:管
理员、标准和根。您可以添加自定义类别,但是不能删除系统提供的类别或更改类别的顺序。有
关更改现有规则的位置或类别的信息,请参阅
理员、标准和根。您可以添加自定义类别,但是不能删除系统提供的类别或更改类别的顺序。有
关更改现有规则的位置或类别的信息,请参阅
。
要在编辑或创建规则时将规则添加到类别,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在 SSL 规则编辑器中,从
Insert
下拉列表中选择
Into Category
,然后选择要使用的类别。
保存规则时,系统将其置于该类别的最后位置。
要在编辑或创建规则时按编号定位规则,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在 SSL 规则编辑器中,从
Insert
下拉列表中选择
above rule
或
below rule
,然后键入相应的规则编号。
当保存规则时,规则已置于您指定的位置。
使用条件指定规则处理的加密流量
许可证:因功能而异
受支持的设备:3 系列
SSL 规则的条件识别该规则处理的加密流量的类型。条件可以简单也可以复杂,并且可以指定每
个规则有多个条件类型。仅当流量满足规则中的所有条件时,该规则才适用于此流量。
个规则有多个条件类型。仅当流量满足规则中的所有条件时,该规则才适用于此流量。
如果不为规则配置特定条件,系统将不基于此标准匹配流量。例如,无论会话 SSL 或 TLS 版本如
何,具有证书条件但不具有版本条件的规则根据用于协商会话的服务器证书来评估流量。
何,具有证书条件但不具有版本条件的规则根据用于协商会话的服务器证书来评估流量。
当添加或编辑 SSL 规则时,请使用规则编辑器下部左侧的选项卡添加和编辑规则条件。下表介绍
可以向 SSL 规则中添加的条件。
可以向 SSL 规则中添加的条件。
表
21-1
SSL
规则条件类型
此条件......
与加密流量相匹配......
详细信息
Zones
通过特定安全区域的一个接口进入或
离开设备
离开设备
。
Networks
按照其源或目标 IP 地址、国家/地区或
大洲
大洲
可以明确指定 IP 地址。利用地理定位功能还可以根据源或
目标国家/地区或大洲控制流量。要构建网络条件,请参阅
目标国家/地区或大洲控制流量。要构建网络条件,请参阅
VLAN Tags
按照 VLAN 进行标记
系统使用最内部的 VLAN 标记来按照 VLAN 识别数据包。
要构建 VLAN 连接,请参阅
要构建 VLAN 连接,请参阅
Ports
按照其源端口或目标端口
可以根据 TCP 端口控制加密流量。要构建端口条件,请参
阅
阅
。