Cisco Cisco Firepower Management Center 4000 User Guide

Page of 1826
 
22-16
FireSIGHT 系统用户指南
  
 22       使用 SSL 规则调整流量解密         
  根据加密属性控制流量
 URL 检测和阻止的限制
许可证:URL 过滤
受支持的设备:3 系列
执行 URL 检测和阻止时,请记住以下要点。
URL 识别的速度
系统在以下情况之前无法将 URL 分类:
  •
在客户端和服务器之间建立受监控连接
  •
系统识别会话中的 HTTPS 应用
  •
系统从客户端问询消息或服务器证书中识别所请求的 URL
此识别发生在服务器证书交换之后。如果在握手期间交换的流量与包含 URL 条件的 SSL 规则中
的所有其他条件相匹配,但是识别未完成,则 SSL 策略允许数据包通过。此行为允许建立连接,
以便可以识别 URL。为方便起见,受影响规则使用信息图标  (
)  进行标记。
在系统完成其识别后,系统会将 SSL 规则操作应用于与其 URL 条件相匹配的剩余会话流量。
URL 中的搜索查询参数
系统不使用 URL 中的搜索查询参数来匹配 URL 条件。例如,考虑这样一个场景:您阻止所有购
物流量。在这种情况下,使用网络搜索来搜索 amazon.com 不会被阻止,但是,浏览 amazon.com 
则会被阻止。
根据加密属性控制流量
许可证:任何环境
受支持的设备:3 系列
您可以创建根据解密连接特性来处理和加密加密流量的 SSL 规则。可以检测用于加密会话的协议
版本或密码套件,并相应地处理流量。您还可以根据以下证书特性检测服务器证书和处理流量:
  •
服务器证书本身
  •
证书颁发者 (是不是颁发 CA,或者证书是不是自签名的)
  •
证书持有者
  •
各种证书状态,例如证书是否有效或者是否被发放 CA 撤销
要检测规则、证书颁发者或证书持有者中的多个密码套件,可以创建可重用密码套件列表和可分
辨名称对象并将其添加到规则中。要检测服务器证书和某些证书状态,必须为规则创建外部证书
和外部 CA 对象。
有关详细信息,请参阅以下各节:
  •
  •
  •
  •
  •