Cisco Cisco Firepower Management Center 2000 User Guide

22-3

FireSIGHT 系统用户指南 

第 22 章      使用 SSL 规则调整流量解密 

  使用基于网络的条件控制加密流量  

要按区域控制加密流量，请执行以下操作：

访问：管理员/访问管理员/网络管理员

步骤 1

在要按区域控制加密流量的 SSL 策略中，创建新 SSL 规则或编辑现有规则。

有关详细说明，请参阅

。

步骤 2

在 SSL 规则编辑器中，选择 Zones 选项卡。

系统将显示 Zones 选项卡。

步骤 3

从 

 中查找并选择要添加的区域。

要搜索将添加的区域，请点击 

 列表上方的 

 提示，然后键入区域名称。

列表会在您键入内容时进行更新，以显示匹配区域。

点击选择区域。要选择多个区域，请使用 Shift 和 Ctrl 键，或者右键单击，然后选择 

。

步骤 4

点击 

 或 

 将所选区域添加到相应的列表。

您也可以拖放所选区域。

步骤 5

保存或继续编辑规则。

必须应用与 SSL 策略关联的访问控制策略以使更改生效；请参阅

按网络或地理位置控制加密流量

许可证：任何环境

受支持的设备：3 系列

通过 SSL 规则中的网络条件，可以按加密流量的源和目标 IP 地址对其进行控制和解密。可以执
行以下任一操作：

明确指定要控制的加密流量的源和目标 IP 地址，或者

使用地理定位功能 （将 IP 地址与地理位置相关联）根据加密流量的源或目标国家/地区或大
洲对其进行控制

构建基于网络的 SSL 规则条件时，可以手动指定 IP 地址和地理位置。或者，也可以使用网络和
地理定位

对象配置网络条件，这些对象可重用，并会将名称与一个或多个 IP 地址、地址块、国家

/地区、大洲等相关联。

提示

在创建网络或地理定位对象之后，不仅可以使用其构建 SSL 规则，还可以表示系统 Web 界面中
各种其他位置的 IP 地址。可以使用对象管理器创建这些对象；也可以在配置 SSL 规则时即时创
建网络对象。有关详细信息，请参阅

。

请注意，如果要编写按地理位置控制流量的规则，以确保使用最新地理定位数据过滤流量，思科
强烈建议定期更新防御中心上的地理定位数据库 (GeoDB)；请参阅

。

下图显示 SSL 规则的网络条件，该规则阻止源于内部网络并尝试访问位于开曼群岛或 182.16.0.3 
处一家离岸控股公司服务器上的资源的加密连接。