Cisco Cisco Firepower Management Center 4000 User Guide

21-10

FireSIGHT 系统用户指南

第 21 章      SSL 规则入门        

  管理策略中的 SSL 规则

在被动或内联（触点模式）部署中无法使用 

 操作，因为设备不会直接检查流量。

如果创建具有 

 操作的规则，该规则在安全区域中包含被动或内联（触点模式）

接口，则策略编辑器在该规则旁边显示警告图标  (

)。如果 SSL 策略面向具有被动或内联

（触点模式）接口的设备，并且包含 

 规则，则系统在该规则旁边显示信息图标 

(

)。如果以后向包含被动或内联（触点模式）接口的 SSL 规则中添加区域条件，系统会显示

警告图标  (

)。如果将包含 Decrypt - Resign 规则的 SSL 策略应用于具有被动或内联（触点模

式）接口的设备，则与该规则相匹配的任何 SSL 会话都会失败。

如果客户端不信任用于对服务器证书重新签名的 CA，则会警告用户不应信任该证书。为避免此
情况，请将 CA 证书导入到客户端信任的 CA 库。或者，如果组织具有专用 PKI，则可以颁发由根 
CA（自动受组织中的所有客户端信任）签名的中级 CA 证书，然后将该 CA 证书上传到设备。

系统无法解密使用匿名密码套件加密的流量。如果向 

 条件中添加匿名密码套件，

则在 SSL 规则中无法使用 

 或 

 操作。

如果 HTTP 代理位于客户端和受管设备之间，并且客户端和服务器使用 CONNECT HTTP 方
法建立隧道化 SSL 连接，则系统无法解密流量。

 无法解密操作将决定系统如

何处理此流量。有关详情，请参见

创建具有 

 操作的 SSL 规则时，无法使用 

 或 

 条件

进行匹配。此限制基于这样一种假设：如果此规则与流量相匹配，则证书、主题 DN 和颁发
者 DN 已经与规则的关联证书相匹配。有关详细信息，请参阅

如果创建内部 CA 对象并选择生成证书签名请求 (CSR)，那么在将签名证书上传到对象之前，
会无法对 

 操作使用此 CA。有关详细信息，请参阅

如果配置具有 

 操作的规则，并且不匹配一个或多个外部证书对象或密码套件的

签名算法类型，则策略编辑器在该规则旁边显示信息图标  (

)。如果不匹配所有外部证书对

象或所有密码套件的签名算法类型，则策略在该规则旁边显示警告图标  (

)，并且无法应用

与 SSL 策略相关联的访问控制策略。有关详细信息，请参阅

和

如果解密流量与具有 

 或 

 操作的访问控制规则相匹配，

则系统阻止匹配的连接而不交互，并且系统

不

显示响应页面。

如果启用内联规范化预处理器中的 

 选项，则预处理器在规范化解密流

量时，可能会丢弃数据包并将其替换为修整过的数据包。这不会结束 SSL 会话。如果允许流
量，则修整过的数据包会作为 SSL 会话的一部分加密。有关此选项的详细信息，请参阅

管理策略中的 SSL 规则

许可证：任何环境

受支持的设备：3 系列

通过 SSL 策略编辑器的 Rules 选项卡 （如下图所示），可以添加、编辑、搜索、移动、启用、禁
用、删除和以其他方式管理策略中的 SSL 规则。