Cisco Cisco Firepower Management Center 2000 User Guide
21-8
FireSIGHT 系统用户指南
第 21 章 SSL 规则入门
了解和创建 SSL 规则
当系统阻止或信任加密会话时,可以记录连接事件。无论系统稍后如何处理或检查流量,您都可
以强制系统记录其解密的连接,以通过访问控制规则进一步检查。加密会话的连接日志包含有关
加密的详细信息,例如用于加密该会话的证书。只能记录连接结束事件,但是:
以强制系统记录其解密的连接,以通过访问控制规则进一步检查。加密会话的连接日志包含有关
加密的详细信息,例如用于加密该会话的证书。只能记录连接结束事件,但是:
•
对于被阻止连接 (Block、Block with reset),系统立即结束会话并生成事件
•
对于受信任连接 (Do not decrypt),系统在会话结束时生成事件
有关规则操作及其如何影响处理和日志记录的详细信息,请参阅以下各节:
•
•
•
•
•
Monitor 操作:延迟操作并确保日志记录
许可证:任何环境
受支持的设备:3 系列
Monitor
操作不影响加密流量;既不会立即允许也不会拒绝匹配流量。相反,系统会根据其他规则
(如果有)来匹配流量,以确定信任、阻止还是解密该流量。所匹配的第一个非 Monitor 规则确
定流量和任何进一步的检查。如果没有其他匹配的规则,系统使用默认操作。
由于 Monitor 规则的主要目的是跟踪网络流量,因此系统会自动记录监控流量的连接结束事件。
即是说,无论后续处理连接的规则或默认操作的日志记录配置如何,系统都始终会将连接结束事
件记录到防御中心数据库。换句话说,如果数据包匹配 Monitor 规则,即使数据包不匹配其他规
则,并且您不对默认操作进行日志记录,系统也始终记录该连接。
即是说,无论后续处理连接的规则或默认操作的日志记录配置如何,系统都始终会将连接结束事
件记录到防御中心数据库。换句话说,如果数据包匹配 Monitor 规则,即使数据包不匹配其他规
则,并且您不对默认操作进行日志记录,系统也始终记录该连接。
不解密操作:通过加密流量而不检查
许可证:任何环境
受支持的设备:3 系列
Do not decrypt
操作使加密流量通过,以通过访问控制策略的规则和默认操作进行评估。由于某些
访问控制规则条件需要未加密的流量,因此该流量可能与较少的规则相匹配。系统无法对加密流
量执行深入检查,例如入侵或文件检查。
量执行深入检查,例如入侵或文件检查。
阻止操作:阻止加密流量而不检查
许可证:任何环境
受支持的设备:3 系列
Block
和
Block with reset
操作类似于访问控制规则操作 Block 和 Block with reset。这些操作防止客
户端和服务器建立 SSL 加密会话并允许加密流量通过。 Block with reset 规则也会重置连接。
请注意,系统不会显示被阻止加密流量的已配置响应页面。相反,请求禁止 URL 的用户需要重
置其连接,否则连接会超时。有关详情,请参见
置其连接,否则连接会超时。有关详情,请参见
。