Cisco Cisco Firepower Management Center 4000 User Guide
27-61
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
使用 SSL 预处理器
有关详细信息,请参阅以下各节:
•
•
•
了解 SSL 预处理
许可证:保护
如果配置了 SSL 检查,则 SSL 预处理器停止对已加密数据进行入侵和文件检查,然后使用 SSL
策略对已加密流量进行检查。这有助于清除误报。 SSL 预处理器在检查 SSL 握手时会维护状态信
息,跟踪该会话的状态和 SSL 版本。如果预处理器检测到会话状态已被加密,系统会将该会话的
流量标记为“加密”。可将系统配置为在确定会话已加密时停止处理已加密会话中的所有数据
包,并在检测到 Heartbleed 漏洞攻击尝试时生成事件。
策略对已加密流量进行检查。这有助于清除误报。 SSL 预处理器在检查 SSL 握手时会维护状态信
息,跟踪该会话的状态和 SSL 版本。如果预处理器检测到会话状态已被加密,系统会将该会话的
流量标记为“加密”。可将系统配置为在确定会话已加密时停止处理已加密会话中的所有数据
包,并在检测到 Heartbleed 漏洞攻击尝试时生成事件。
对于每个数据包, SSL 预处理器都会验证流量是否包含 IP 报头、 TCP 报头和 TCP 负载,以及流
量发生在指定适用于 SSL 预处理的端口上。对于符合条件的流量,可根据以下情况确定流量是否
已加密:
量发生在指定适用于 SSL 预处理的端口上。对于符合条件的流量,可根据以下情况确定流量是否
已加密:
•
系统检测会话中的所有数据包,未启用
Server side data is trusted
,会话中包含来服务器和客户端
的 Finished 消息和至少一个来自服务器和客户端的数据包 (包含应用记录但不包含警报记录)
•
系统漏检了一些流量,未启用
Server side data is trusted
,而且会话中至少包含来自服务器和客户
端的一个数据包 (包含应用记录但不包含警报记录)
•
系统检测会话中的所有数据包,未启用
Server side data is trusted
,会话中包含来客户端的
Finished 消息和至少一个来自客户端的数据包 (包含应用记录但不包含警报记录)
•
系统漏检了一些流量,未启用
Server side data is trusted
,而且会话中至少包含来自客户端的一个
数据包 (包含应用记录但不包含警报记录)
如果选择停止处理加密流量,系统会在将该会话标记为“加密”后忽略其中的后续数据包。
此外,在 SSL 握手期间,预处理器监控心跳请求和响应。检测到以下对象时,预处理器生成事件。
•
包含的负载长度值大于负载本身的心跳请求
•
大于 Max Heartbeat Length 字段中存储的值的心跳响应
注
可向某规则添加
ssl_state
和
ssl_version
关键字,以便在该规则中使用 SSL 状态或版本信息。
有关详细信息,请参阅
启用 SSL 预处理器规则
许可证:保护
启用 SSL 预处理器后,它会检查 SSL 会话开始时交换的握手和密钥交换消息的内容。会话加密之
后,可以暂停检查流量是否存在入侵和恶意软件。如果配置 SSL 检查,则 SSL 预处理器还将确定
您可以阻止、解密或使用访问控制进行检查的已加密流量。
后,可以暂停检查流量是否存在入侵和恶意软件。如果配置 SSL 检查,则 SSL 预处理器还将确定
您可以阻止、解密或使用访问控制进行检查的已加密流量。
请注意,如果您希望 SSL 预处理器规则生成事件,则必须启用这些规则,其生成器 ID (GID) 为
137。有关详情,请参见
137。有关详情,请参见