Cisco Cisco Firepower Management Center 2000 User Guide
27-62
FireSIGHT 系统用户指南
第 27 章 使用应用层预处理器
使用 SSL 预处理器
下表说明了可启用的 SSL 预处理器规则。
配置 SSL 预处理器
许可证:保护
如果未配置 SSL 检查,则系统尝试检查已加密流量是否存在恶意软件和入侵,而不对其进行解
密。如果启用了 SSL 预处理器,它会检测会话加密的时间。启用 SSL 预处理器后,规则引擎可以
调用预处理器来获得 SSL 状态和版本信息。如果在某个入侵策略中启用使用
密。如果启用了 SSL 预处理器,它会检测会话加密的时间。启用 SSL 预处理器后,规则引擎可以
调用预处理器来获得 SSL 状态和版本信息。如果在某个入侵策略中启用使用
ssl_state
和
ssl_version
关键字的规则,则还应在该策略中启用 SSL 预处理器。
此外,可以启用
Stop inspecting encrypted traffic
选项来禁止检查和重组加密的会话。SSL 预处理器会
维护会话状态,因此,它可以禁止对会话中所有流量的检查。如果启用了 SSL 预处理并选择了
Stop inspecting encrypted traffic
选项,则系统只停止检查加密会话中的流量。请注意,如果清除
Stop
inspecting encrypted traffic
选项,将无法修改
Server side data is trusted
选项。
要仅以服务器流量为依据标别加密流量,可以启用
Server side data is trusted
选项;也就是说,可信
赖服务器端数据来指明流量是否已加密。 SSL 预处理器通常会检查客户端流量以及服务器对该流
量的响应,从而确定会话是否已加密。但是,如果系统无法检测会话的两端,就可能不会将会话
标记为“加密”,因此,可依赖于 SSL 服务器来确定会话是否已加密。请注意,如果启用
量的响应,从而确定会话是否已加密。但是,如果系统无法检测会话的两端,就可能不会将会话
标记为“加密”,因此,可依赖于 SSL 服务器来确定会话是否已加密。请注意,如果启用
Server
side data is trusted
选项,还必须启用
Stop inspecting encrypted traffic
选项,这样系统就不会继续检查加
密会话中的流量。
可可预处理器
Max Heartbeat Length
选项配置为通过检查 SSL 握手内部的心跳请求和响应而检测
Heartbleed 漏洞攻击尝试。如果预处理器检测到负载长度超过实际负载长度或心跳响应大小超过
Max Heartbeat Length
值的心跳请求,则预处理器会生成事件。
可以指定预处理器监控加密会话流量的端口。
注
如果 SSL 预处理器检测到指定用于 SSL 监控的端口上有非 SSL 流量,它会尝试将该流量作为
SSL 流量进行解码,然后将其标记为“损坏”。
SSL 流量进行解码,然后将其标记为“损坏”。
要配置 SSL 预处理器,请执行以下操作:
访问:管理员/入侵管理员
步骤 1
选择
Policies > Access Control
显示 Access Control Policy 页面,然后点击
Network Analysis Policy
。
系统将显示 Network Analysis Policy 页面。
表
27-14
SSL
预处理器规则
预处理器规则
GID:SID
GID:SID
说明
137:1
在服务器问候消息之后检测到客户端问候消息,后者是无效的,被视为异常
行为。
行为。
137:2
在
Server side data is trusted
禁用的情况下检测到服务器问候消息 (但没有检测
到客户端问候消息),该问候消息是无效状态,被视为异常行为。有关详
情,请参见
情,请参见
。
137:3
当
Max Heartbeat Length
包含非零值时,检测到负载长度超过负载本身的心跳
请求,这指示 Heartbleed 漏洞攻击尝试。
137:4
检测到大于在
Max Heartbeat Length
中指定的非零值的心跳响应,这指示
Heartbleed 漏洞攻击尝试。