Cisco Cisco Firepower Management Center 2000 User Guide
22-3
FireSIGHT 系统用户指南
第 22 章 使用 SSL 规则调整流量解密
使用基于网络的条件控制加密流量
要按区域控制加密流量,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在要按区域控制加密流量的 SSL 策略中,创建新 SSL 规则或编辑现有规则。
有关详细说明,请参阅
。
步骤 2
在 SSL 规则编辑器中,选择 Zones 选项卡。
系统将显示 Zones 选项卡。
步骤 3
从
Available Zones
中查找并选择要添加的区域。
要搜索将添加的区域,请点击
Available Zones
列表上方的
Search by name
提示,然后键入区域名称。
列表会在您键入内容时进行更新,以显示匹配区域。
点击选择区域。要选择多个区域,请使用 Shift 和 Ctrl 键,或者右键单击,然后选择
Select All
。
步骤 4
点击
Add to Source
或
Add to Destination
将所选区域添加到相应的列表。
您也可以拖放所选区域。
步骤 5
保存或继续编辑规则。
必须应用与 SSL 策略关联的访问控制策略以使更改生效;请参阅
按网络或地理位置控制加密流量
许可证:任何环境
受支持的设备:3 系列
通过 SSL 规则中的网络条件,可以按加密流量的源和目标 IP 地址对其进行控制和解密。可以执
行以下任一操作:
行以下任一操作:
•
明确指定要控制的加密流量的源和目标 IP 地址,或者
•
使用地理定位功能 (将 IP 地址与地理位置相关联)根据加密流量的源或目标国家/地区或大
洲对其进行控制
洲对其进行控制
构建基于网络的 SSL 规则条件时,可以手动指定 IP 地址和地理位置。或者,也可以使用网络和
地理定位
地理定位
对象配置网络条件,这些对象可重用,并会将名称与一个或多个 IP 地址、地址块、国家
/地区、大洲等相关联。
提示
在创建网络或地理定位对象之后,不仅可以使用其构建 SSL 规则,还可以表示系统 Web 界面中
各种其他位置的 IP 地址。可以使用对象管理器创建这些对象;也可以在配置 SSL 规则时即时创
建网络对象。有关详细信息,请参阅
各种其他位置的 IP 地址。可以使用对象管理器创建这些对象;也可以在配置 SSL 规则时即时创
建网络对象。有关详细信息,请参阅
。
请注意,如果要编写按地理位置控制流量的规则,以确保使用最新地理定位数据过滤流量,思科
强烈建议定期更新防御中心上的地理定位数据库 (GeoDB);请参阅
强烈建议定期更新防御中心上的地理定位数据库 (GeoDB);请参阅
。
下图显示 SSL 规则的网络条件,该规则阻止源于内部网络并尝试访问位于开曼群岛或 182.16.0.3
处一家离岸控股公司服务器上的资源的加密连接。
处一家离岸控股公司服务器上的资源的加密连接。