Cisco Cisco Firepower Management Center 2000 User Guide
19-9
FireSIGHT 系统用户指南
第 19 章 了解流量解密
分析 SSL 检查设备部署
发生接下来的步骤:
1.
用户提交纯文本请求
(fake
)。客户端加密此 (
CcDd
) 并将已加密流量发送到客户服务部门。
2.
LifeIns 的路由器接收已加密流量并将其路由到客户服务部门服务器。它还将副本镜像到受管
设备。
设备。
3.
客户服务部门服务器接收已加密的信息请求 (
CcDd
) 并将其解密为纯文本 (
fake
)。
4.
受管设备使用通过上载的已知私钥获取的会话密钥将此已加密流量解密为纯文本 (
fake
)。
访问控制策略继续处理已解密的流量并查找虚假的申请信息。设备生成入侵事件。设备在会
话结束后生成连接事件。
话结束后生成连接事件。
5.
防御中心接收包含有关已加密和解密流量的信息的连接事件,以及虚假申请数据的入侵事件。
示例:在内联部署中解密流量
许可证:功能相关
受支持的设备:3 系列
LifeIns 的业务要求规定保险部门必须:
•
审核新的和初级保险员,确认其提交给 MedRepo 的信息请求符合所有适用的法规
•
改善其保险指标收集流程
•
检查似乎来自 MedRepo 的所有请求,然后丢弃所有欺骗尝试
•
丢弃从保险部门发送到 MedRepo 客户服务部门的所有不当法规请求
•
不审核高级保险员
LifeIns 计划在内联部署中部署一台设备供保险部门使用。下图说明 LifeIns 的内联部署。
来自 MedRepo 网络的流量进入 LifeIns 的路由器。该路由器将流量路由到 LifeIns 的网络。受管设
备接收流量,将允许的流量传递到 LifeIns 的路由器,并向管理防御中心发送事件。 LifeIns 的路
由器将流量路由到目标主机。
备接收流量,将允许的流量传递到 LifeIns 的路由器,并向管理防御中心发送事件。 LifeIns 的路
由器将流量路由到目标主机。
在管理防御中心上,具有访问控制和 SSL 编辑器自定义角色的用户配置 SSL 检查完成以下任务:
•
记录发送到保险部门的所有已加密流量
•
阻止从 LifeIns 的保险部门错误发送到 MedRepo 客户服务部门的所有已加密流量