Cisco Cisco Firepower Management Center 2000 User Guide

20-5

FireSIGHT 系统用户指南 

第 20 章      SSL 策略使用入门 

  创建基本 SSL 策略    

首次创建 SSL 策略时，默认情况下将禁用记录默认操作所处理的连接。由于默认操作的日志记录
设置也适用于无法解密的流量处理，默认情况下也将禁用记录无法解密的流量操作所处理的连
接。有关配置默认日志记录的详细信息，请参阅

。

注

如果在客户端与受管设备之间放置 HTTP 代理，且使用 CONNECT HTTP 方法在客户端与和服务
器之前建立隧道化 SSL 连接，则系统将无法解密流量。

 无法解密的操作确定系统

如何处理此流量。有关详细信息，请参阅

要为无法解密的流量设置默认处理，请执行以下操作：

访问：管理员/访问管理员/网络管理员

步骤 1

选择 

。

系统将显示 SSL Policy 页面。

步骤 2

点击要配置的 SSL 策略旁的编辑图标  (

)。

系统将显示 SSL 策略编辑器。

步骤 3

选择 

 选项卡。

系统将显示 Undecryptable Actions 选项卡。

步骤 4

对于每个字段，选择要对无法解密的流量类型执行的操作，或者，是否要应用 SSL 策略的默认操
作。有关详细信息，请参阅 

未知密码套件

系统无法识别该密码套件。

继承默认操作

不解密

阻止

阻止并重置

继承默认操作

不受支持的密码套件 系统不支持根据检测到的密码套件进行解密。

继承默认操作

不解密

阻止

阻止并重置

继承默认操作

会话无法缓存

SSL 会话已启用会话重复使用，客户端和服务器使用会
话标识符重新建立了该会话，并且系统未缓存该会话标
识符。

继承默认操作

不解密

阻止

阻止并重置

继承默认操作

握手错误

在 SSL 握手协商时出错。

继承默认操作

不解密

阻止

阻止并重置

继承默认操作

解密错误

在流量解密时出错。

阻止

阻止

阻止并重置

表 

无法解密的流量类型

类型

说明

默认操作

可执行的操作