Cisco Cisco Firepower Management Center 2000 User Guide
19-2
FireSIGHT 系统用户指南
第 19 章 了解流量解密
SSL 检查要求
SSL 检查要求
许可证:因功能而异
受支持的设备:3 系列
仅某些设备型号支持 SSL 检查。除了您的配置设置和许可证之外,如何在网络中部署设备也会影
响到您控制和解密已加密流量时可以采取的操作。
响到您控制和解密已加密流量时可以采取的操作。
配置 SSL 检查时可用的功能和操作取决于您的用户角色。系统包括专门为各种管理员和分析师设
计的预定义用户角色,您可以创建具有特殊访问权限的自定义用户角色。
计的预定义用户角色,您可以创建具有特殊访问权限的自定义用户角色。
SSL 检查需要公钥证书和配对的私钥才能执行某些功能。您必须将证书和配对的私钥上载到防御
中心以根据加密会话特性解密和控制流量。
中心以根据加密会话特性解密和控制流量。
有关详细信息,请参阅以下各节:
•
•
•
•
部署支持 SSL 检查的设备
许可证:任何环境
受支持的设备:3 系列
SSL 检查需要 3 系列设备。
用内联、路由式、交换式或混合接口配置和部署的设备可以修改流量。这些设备可以监控、阻
止、允许和解密入站和出站流量。
止、允许和解密入站和出站流量。
用被动或内联(分路模式)接口配置和部署的设备无法影响流量。这些设备只能监控、允许和解密
入站流量。请注意,被动部署不支持解密采用瞬时 Diffie-Hellman (DHE) 或椭圆曲线
Diffie-Hellman (ECDHE) 密码套件加密的流量。
入站流量。请注意,被动部署不支持解密采用瞬时 Diffie-Hellman (DHE) 或椭圆曲线
Diffie-Hellman (ECDHE) 密码套件加密的流量。
请审查您的映射操作列表、现有网络部署和总体要求以确定是否有一种或其他类型的部署更适合
贵组织。有关详细信息,请参阅
贵组织。有关详细信息,请参阅
。
确定 SSL 检查必需的许可证
许可证:因功能而异
视乎您的许可证,您可以使用一组条件确定如何处理已加密流量。尽管无论防御中心上的许可证
如何您均可创建 SSL 策略,但 SSL 检查的某些方面要求在应用策略之前先启用目标设备上的特定
许可功能。防御中心使用警告图标 (
如何您均可创建 SSL 策略,但 SSL 检查的某些方面要求在应用策略之前先启用目标设备上的特定
许可功能。防御中心使用警告图标 (
) 和确认对话框来指定您部署的不受支持的功能。有关详
细信息,请将指针悬停在警告图标上方。
作为访问控制策略的一部分,您将 SSL 策略应用于受管设备,访问控制策略将检查由 SSL 策略解
密的流量。有关访问控制许可的详细信息,请参阅
密的流量。有关访问控制许可的详细信息,请参阅
下表说明作为访问控制策略的一部分应用 SSL 策略的许可证要求。