Cisco Cisco Firepower Management Center 2000 User Guide
22-9
FireSIGHT 系统用户指南
第 22 章 使用 SSL 规则调整流量解密
按信誉控制加密流量
根据应用控制加密流量
许可证:可控性
受支持的设备:3 系列
当 FireSIGHT 系统分析加密 IP 流量时,它可以在解密加密会话之前识别和分类网络上常用的加密
应用。系统使用此基于发现的
应用。系统使用此基于发现的
应用感知功能,允许您控制网络上的加密应用流量。
SSL 规则中的应用条件允许您执行此应用控制。在单个 SSL 规则中,有多种方法可以指定要控制
其流量的应用:
其流量的应用:
•
可以选择单个应用,包括自定义应用。
•
可以使用系统提供的
应用过滤器,此类过滤器是根据应用的基本特性 (类型、风险、业务相
关性和类别)组织的命名应用集。
•
您可以创建和使用自定义应用过滤器,其以您选择的任何方式将应用 (包括自定义应用)进
行分组。
行分组。
注
使用访问控制规则过滤应用流量时,可以使用应用标记作为标准 进行过滤。但是,因为没有好
处,不能使用应用标记过滤加密流量。系统在加密流量中可以检测的所有应用都标记为
处,不能使用应用标记过滤加密流量。系统在加密流量中可以检测的所有应用都标记为
SSL
Protocol
;只能在未加密或已解密的流量中检测到没有此标记的应用。
通过应用过滤器,可以快速创建 SSL 规则的应用条件。这些条件简化策略创建和管理,并保证系
统将按预期控制网络流量。例如,可以创建会识别并解密加密流量中的所有高风险、低业务相关
性应用的 SSL 规则。如果用户尝试使用这些应用之一,则会通过访问控制来解密和检查会话。
统将按预期控制网络流量。例如,可以创建会识别并解密加密流量中的所有高风险、低业务相关
性应用的 SSL 规则。如果用户尝试使用这些应用之一,则会通过访问控制来解密和检查会话。
此外,思科还通过系统和漏洞数据库 (VDB) 更新频繁更新和添加其他检测器。您还可以创建自己
的检测器并向其检测的应用分配特性 (风险、相关性等)。通过根据应用特性使用过滤器,可以
确保系统使用最新检测器监控应用流量。
的检测器并向其检测的应用分配特性 (风险、相关性等)。通过根据应用特性使用过滤器,可以
确保系统使用最新检测器监控应用流量。
为使流量与具有应用条件的 SSL 规则相匹配,流量必须与向
Selected Applications and Filters
列表中
添加的其中一个过滤器或应用相匹配。
下图显示用于解密以下自定义应用组的 SSL 规则的应用条件:MyCompany 的应用,具有高风险
和低业务相关性的所有应用、游戏应用以及单独选择的一些应用。
和低业务相关性的所有应用、游戏应用以及单独选择的一些应用。
在单个应用条件中,可以向
Selected Applications and Filters
列表中添加最多 50 项。以下每个内容计
为一项:
•
Application Filters
列表中的一个或多个过滤器 (单独或以自定义组合形式)。此项表示按特性
分组的应用集。