Cisco Cisco Firepower Management Center 2000 User Guide

19-15

FireSIGHT 系统用户指南 

第 19 章      了解流量解密 

  分析 SSL 检查设备部署    

受管设备使用通过重签服务器证书获取的会话密钥和私钥将此流量解密为纯文本 (

help

)。

访问控制策略继续使用自定义入侵策略处理已解密的流量，且不查找不当请求。设备重新加
密流量 (

CcDd

)，允许其通过。设备在会话结束后生成连接事件。

外部路由器接收流量并将其路由到请求部门服务器。

请求部门服务器接收已加密信息 (

CcDd

) 并将其解密为纯文本 (

help

)。

防御中心接收到包含有关已加密和解密流量的信息的连接事件。

注

使用重签

服务器证书加密的流量会导致浏览器警告，指出证书不受信任。要避免此问题，请将 CA 证书添

加到组织的域根受信任证书存储或客户端受信任证书存储。

相反，包含不符合法规要求的任何已解密流量均将被丢弃。系统记录连接和不符信息。下图说明
使用重签服务器证书和私钥解密已加密流量，然后使用访问控制策略检查流量并阻止已解密流量
的系统。

发生接下来的步骤：

用户提交不符合法规要求的纯文本请求 (

regs

)。客户端加密此 (

EeFf

) 并将已加密流量发送到

请求部门服务器。

内部路由器接收流量并将其路由到请求部门服务器。

受管设备使用通过重签服务器证书获取的会话密钥和私钥将此流量解密为纯文本 (

regs

)。

访问控制策略继续使用自定义入侵策略处理已解密流量并查找不当请求。设备阻止流量，然
后生成入侵事件。设备在会话结束后生成连接事件。

外部路由器不会接收阻止的流量。

请求部门服务器不会接收阻止的流量。

防御中心接收到包含有关已加密和解密流量的信息的连接事件，以及不当请求的入侵事件。