Cisco Cisco Firepower Management Center 2000 Guía Del Usuario
38-11
FireSIGHT 系统用户指南
第 38 章 记录网络流量中的连接
记录已加密连接
记录已加密连接
许可证:SSL
受支持的设备:3 系列
在访问控制过程中,通过 SSL 检查功能,您可以使用 SSL 策略解密已加密的流量以供访问控制规
则进一步评估。您可以强制系统记录这些解密的连接,而无论系统之后如何处理或检查这些流
量。您还可以在阻止已加密流量时或允许其传递至访问控制规则而不解密时,记录连接。
则进一步评估。您可以强制系统记录这些解密的连接,而无论系统之后如何处理或检查这些流
量。您还可以在阻止已加密流量时或允许其传递至访问控制规则而不解密时,记录连接。
已加密会话的连接日志包含有关加密的详细信息,例如用于加密该会话的证书。您可以按每条
SSL 规则为 SSL 策略中已加密会话配置连接记录,以便仅记录关键连接。
SSL 规则为 SSL 策略中已加密会话配置连接记录,以便仅记录关键连接。
有关详细信息,请参阅以下各节:
•
•
记录可用 SSL 规则解密的连接
许可证:SSL
受支持的设备:3 系列
在 SSL 策略中, SSL 规则为处理多台受管设备上已加密流量提供了一种精细方法。这样,您可以
仅记录关键连接,按每条 SSL 规则启用连接记录 - 如果您为某条规则启用连接记录,则系统会记
录该规则处理的所有连接。
仅记录关键连接,按每条 SSL 规则启用连接记录 - 如果您为某条规则启用连接记录,则系统会记
录该规则处理的所有连接。
对于由 SSL 策略检查的已加密连接,可以将连接事件记录到防御中心数据库或外部系统日志或
SNMP 陷阱服务器。您可以仅记录连接结束事件,但是:
SNMP 陷阱服务器。您可以仅记录连接结束事件,但是:
•
对于受阻连接 (Block、 Block with reset),系统会立即结束会话并生成事件
•
对于受监控连接 (Monitor) 和传递至访问控制规则 (Decrypt、 Do not decrypt)的连接,会话结
束时,无论之后处理该连接的访问控制规则或默认操作的日志记录如何,系统都会生成事件
束时,无论之后处理该连接的访问控制规则或默认操作的日志记录如何,系统都会生成事件
有关详细信息,请参阅
。
要记录可解密连接,请执行以下操作:
访问:管理员/访问管理员/网络管理员/安全审批人
步骤 1
选择
Policies > SSL
。
系统将显示 SSL Policy 页面。
步骤 2
点击要编辑的 SSL 策略旁的编辑图标 (
)。
系统将显示 SSL 策略编辑器,以 Rules 选项卡为中心。
步骤 3
点击要配置日志记录所在规则旁的编辑图标 (
)。
系统将显示 SSL 规则编辑器。
步骤 4
选择 Logging 选项卡。
系统将显示 Logging 选项卡。
步骤 5
选择
Log at End of Connection
。
步骤 6
指定将连接事件发送至何处。有以下选项可供选择:
•
要将连接事件发送到防御中心,请选择
防御中心
。当规则操作为
Monitor
时,您必须将连接记
录到防御中心中。