Cisco Cisco Firepower Management Center 4000 User Guide
21-17
FireSIGHT 系统用户指南
第 21 章 SSL 规则入门
管理策略中的 SSL 规则
请考虑以下场景,其中受信任 CA (好 CA )错误地将 CA 证书颁发给恶意实体 (坏 CA),但是
尚未撤销该证书。您希望阻止使用由不受信任 CA 颁发的证书加密的流量,但是以其他方式允许
受信任 CA 的信任链中的流量。您应上传 CA 证书和所有中间 CA 证书,然后按如下方式对规则
进行排序:
尚未撤销该证书。您希望阻止使用由不受信任 CA 颁发的证书加密的流量,但是以其他方式允许
受信任 CA 的信任链中的流量。您应上传 CA 证书和所有中间 CA 证书,然后按如下方式对规则
进行排序:
Rule 1: Block issuer CN=www.badca.com
Rule 2: Do not decrypt issuer CN=www.goodca.com
如果颠倒规则顺序:
Rule 1: Do not decrypt issuer CN=www.goodca.com
Rule 2: Block issuer CN=www.badca.com
第一个规则与受好 CA 信任的所有流量相匹配,包括受坏 CA 信任的流量 由于流量不曾与第二个
规则相匹配,因此可能会允许而非阻止恶意流量。
规则相匹配,因此可能会允许而非阻止恶意流量。
将用于解密流量的规则放置在后
由于流量解密需要处理资源,因此将不解密流量的规则 (Do not decrypt、 Block)放置在解密流
量的规则 (Decrypt-Known Key、 Decrypt-Resign)之前可提高性能。这是因为流量解密会运用大
量资源。此外, Block 规则可以转移系统可能以其他方式解密或检查的流量。所有其他因素等
同,也就是说,假如在某个规则集中,没有更重要的规则且争抢不会造成问题,请考虑按以下顺
序放置这些规则:
量的规则 (Decrypt-Known Key、 Decrypt-Resign)之前可提高性能。这是因为流量解密会运用大
量资源。此外, Block 规则可以转移系统可能以其他方式解密或检查的流量。所有其他因素等
同,也就是说,假如在某个规则集中,没有更重要的规则且争抢不会造成问题,请考虑按以下顺
序放置这些规则:
•
记录匹配连接但不对流量采取任何其他操作的 Monitor 规则
•
阻止流量而不进一步检查的 Block 规则
•
不解密加密流量的 Do not decrypt 规则
•
使用已知私钥解密传入流量的 Decrypt-Known Key 规则
•
通过对服务器证书重新签名来解密传出流量的 Decrypt-Resign 规则
配置 SSL 检查以提高性能
许可证:任何环境
受支持的设备:3 系列
复杂 SSL 策略和规则会运用大量资源。当应用 SSL 策略时,系统会将所有规则共同进行评估,并
创建目标设备用于评估网络流量的扩展标准集。弹出窗口可能会警告已超过目标设备支持的最大
SSL 规则数。此最大值取决于因素的数量,包括设备上的物理内存和处理器数量。
创建目标设备用于评估网络流量的扩展标准集。弹出窗口可能会警告已超过目标设备支持的最大
SSL 规则数。此最大值取决于因素的数量,包括设备上的物理内存和处理器数量。
简化规则
以下准则可帮助您简化 SSL 规则并提高性能:
•
在构造规则时,请尽可能少地使用条件中的单独元素。例如,在网络条件中,使用 IP 地址块
而不是单个 IP 地址。在端口条件中,使用端口范围。使用应用过滤器和 URL 类别及信誉可
执行应用控制和 URL 过滤,使用 LDAP 用户组可执行用户控制。
而不是单个 IP 地址。在端口条件中,使用端口范围。使用应用过滤器和 URL 类别及信誉可
执行应用控制和 URL 过滤,使用 LDAP 用户组可执行用户控制。
请注意,将元素结合到之后会在 SSL 规则条件中使用的对象中,将不会提高性能。例如,与
在条件中逐个包含 50 个单独 IP 地址相比,使用包含这些 IP 地址的网络对象仅提供组织优势
而非性能优势。
在条件中逐个包含 50 个单独 IP 地址相比,使用包含这些 IP 地址的网络对象仅提供组织优势
而非性能优势。
•
请尽可能按安全区域来限制规则。如果设备的接口不在某一区域限制规则中的其中一个区域
内,则该规则不影响该设备上的性能。
内,则该规则不影响该设备上的性能。
•
不过度配置规则。如果一个条件足以匹配要处理的流量,请勿使用两个条件。