Руководство Пользователя для Cisco Cisco Firepower Management Center 2000
19-4
FireSIGHT 系统用户指南
第 19 章 了解流量解密
分析 SSL 检查设备部署
收集配置 SSL 规则的必备信息
许可证:功能相关
SSL 检查依赖于大量支持公钥基础架构 (PKI) 信息。考虑贵组织的流量模式以确定可配置的匹配
规则条件。收集下表列出的信息:
规则条件。收集下表列出的信息:
有关详细信息,请参阅
。
决定是否不解密、阻止、监控或解密作为您匹配规则之依据的已加密流量。将这些决策映射至
SSL 规则操作、无法解密的流量操作和 SSL 策略默认操作。要解密流量,请参阅下表:
SSL 规则操作、无法解密的流量操作和 SSL 策略默认操作。要解密流量,请参阅下表:
有关详细信息,请参阅
。
在您收集此信息后,请将其上载到系统并配置可重复使用的对象。有关详细信息,请参阅
分析 SSL 检查设备部署
许可证:功能相关
受支持的设备:3 系列
本小节提供了若干情景,在其中 Life Insurance Example, Inc. life insurance company (LifeIns) 对已
加密流量使用 SSL 检查以帮助审核其流程。根据其业务流程, LifeIns 计划部署:
加密流量使用 SSL 检查以帮助审核其流程。根据其业务流程, LifeIns 计划部署:
•
被动部署中的一台 3 系列受管设备,供客户服务部门使用
•
内联部署中的一台 3 系列受管设备,供保险部门使用
•
用于管理上述两台设备的一台防御中心
客户服务业务流程
LifeIns 为客户创建了面向客户的网站。LifeIns 通过其网站和邮件接收来自潜在客户的有关保单的
已加密问题和请求。 LifeIns 的客户服务部门在 24 小时内处理并返回请求的信息。客户服务部门
希望扩展其传入联络指标收集 LifeIns 已为客户服务部门建立内部审核机制。
已加密问题和请求。 LifeIns 的客户服务部门在 24 小时内处理并返回请求的信息。客户服务部门
希望扩展其传入联络指标收集 LifeIns 已为客户服务部门建立内部审核机制。
LifeIns 还在线接收已加密的应用。客户服务部门在将案例文件发送到保险部门之前,在 24 小时内处
理申请。客户服务部门过滤出通过在线表单发送的所有明显错误的申请,这将消耗他们不少时间。
理申请。客户服务部门过滤出通过在线表单发送的所有明显错误的申请,这将消耗他们不少时间。
表
19-3
SSL
规则条件必备信息
要匹配…
收集…
检测到的服务器证书,包括自签的服务器证书
服务器证书
受信任的服务器证书
CA 证书
检测到的服务器证书主体或颁发机构
服务器证书主体 DN 或颁发机构 DN
表
19-4
SSL
解密必备条件
要解密…
收集...
您控制的服务器的入站流量
服务器证书文件和配对的私钥文件
外部服务器的出站流量
CA 证书文件和配对的私钥文件
还可以生成 CA 证书和私钥。