Cisco Cisco Firepower Management Center 4000 User Guide

21-9

FireSIGHT 系统用户指南 

第 21 章      SSL 规则入门 

  了解和创建 SSL 规则    

提示

请注意，在被动或内联（触点模式）部署中不能使用 Block 或 Block with reset 操作，因为设备不是
直接检查流量。如果创建具有 Block 或 Block with reset 操作的规则，该规则在安全区域条件内包含
被动或内联（触点模式）接口，则策略编辑器在该规则旁边显示警告图标  (

)。

解密操作：解密流量以进一步检查

许可证：任何环境

受支持的设备：3 系列

 和 

 操作会对加密流量进行解密。系统通过访问控制来检查解密流

量。访问控制规则以相同方式处理已解密和未加密的流量，您可以检查该流量来获得发现数据，
并检测和阻止入侵、禁止的文件及恶意软件。系统在将允许的流量传递到其目标之前会将其重新
加密。

当配置 

 操作时，可以将一个或多个服务器证书和配对私钥与该操作相关联。如

果流量与规则相匹配，并且用于加密流量的证书与操作的关联证书相匹配，则系统会使用相应的
私钥获取会话加密和解密密钥。由于您必须有权访问私钥，此操作最适合于解密传入到组织控制
的服务器的流量。

同样，可以将一个证书颁发机构证书和私钥与 

 操作相关联。如果流量与此规则相

匹配，则系统会使用 CA 证书对服务器证书重新签名，然后充当中间人。它会创建两个 SSL 会
话，一个介于客户端和受管设备之间，一个介于受管设备和服务器之间。每个会话包含不同的加
密会话详细信息，并且允许系统解密并重新加密流量。此操作更适用于传出流量，因为证书的私
钥会替换为您控制用于获取会话密钥的私钥。

对服务器证书重新签名涉及将证书的公钥替换为 CA 证书公钥，或者替换整个证书。通常，如果
替换整个服务器证书，则在建立 SSL 连接时，客户端浏览器会发出警告，表明证书未由受信任机
构签名。但是，如果客户端浏览器信任策略中的 CA，则浏览器不发出表明证书不可信的警告。
如果原始服务器证书是自签名证书，系统会更换整个证书，并且信任重新签名的 CA，但是用户
浏览器不发出表明证书是自签名的警告。在这种情况下，仅替换服务器证书公钥会导致客户端浏
览器确实发出表明证书是自签名的警告。

如果配置具有 

 操作的规则，则除任何已配置的规则条件外，该规则会根据所引用

的内部 CA 证书的签名算法类型来匹配流量。由于您将一个 CA 证书与 

 操作相关

联，因此无法创建用来解密使用不同签名算法加密的多种类型的传出流量的 SSL 规则。此外，添
加到规则中的任何外部证书对象和密码套件都必须与关联的 CA 证书加密算法类型相匹配。

例如，仅当操作引用基于椭圆曲线 (EC) 的 CA 证书时，使用 EC 算法加密的传出流量才会与 

 规则相匹配；如果要创建证书和密码套件规则条件，必须将基于 EC 的外部证书和

密码套件添加到该规则。同样，引用基于 RSA 的 CA 证书的 

 规则仅与使用 RSA 算

法加密的传出流量相匹配；使用 EC 算法加密的传出流量与该规则不匹配，即使所有其他已配置
的规则条件都匹配也如此。

请注意：

如果用于建立 SSL 连接的密码套件应用 Diffie-Hellman 短时 (DHE) 或椭圆曲线 Diffie-Hellman 短
时 (ECDHE) 密钥交换算法，则在被动部署中无法使用 

 操作。如果 SSL 策略面

向具有被动或内联（触点模式）接口的设备，并且包含具有密码套件条件（含有 DHE 或 ECDHE 
密码套件）的 

 规则，则系统会在该规则旁边显示信息图标  (

)。如果以后向

包含被动或内联（触点模式）接口的 SSL 规则中添加区域条件，系统会显示警告图标  (

)。