Cisco Cisco Firepower Management Center 2000 用户指南
22-24
FireSIGHT 系统用户指南
第 22 章 使用 SSL 规则调整流量解密
根据加密属性控制流量
按密码套件控制加密流量
许可证:任何环境
受支持的设备:3 系列
通过 SSL 规则中的密码套件条件,可以根据用于协商加密会话的密码套件来处理和检查加密流
量。思科提供可向密码套件规则条件中添加的预定义密码套件。您还可以添加包含多个密码套件
的密码套件列表对象。有关密码套件列表的详细信息,请参阅
量。思科提供可向密码套件规则条件中添加的预定义密码套件。您还可以添加包含多个密码套件
的密码套件列表对象。有关密码套件列表的详细信息,请参阅
。
注
不能添加新的密码套件。不能修改和删除预定义密码套件。
在单个密码套件条件中,可以向
Selected Cipher Suites
添加最多 50 个密码套件和密码套件列表。
请注意:
•
如果添加部署不支持的密码套件,则无法应用与 SSL 策略相关联的访问控制策略。例如,被
动部署不支持使用任何短 Diffie-Hellman (DHE) 或短椭圆曲线 Diffie-Hellman (ECDHE) 密码
套件来解密流量。使用这些密码套件创建规则将会阻止应用访问控制策略。
动部署不支持使用任何短 Diffie-Hellman (DHE) 或短椭圆曲线 Diffie-Hellman (ECDHE) 密码
套件来解密流量。使用这些密码套件创建规则将会阻止应用访问控制策略。
•
如果使用密码套件配置密码套件条件,则添加到证书条件中的任何外部证书对象或与
Decrypt -
Resign
操作相关联的内部 CA 对象必须与密码套件的签名算法类型相匹配。例如,如果规则的
密码套件条件引用基于 EC 的密码套件,则添加的任何服务器证书或与
Decrypt - Resign
操作相
关联的 CA 证书也必须基于 EC。如果在此情况下签名算法类型不匹配,则策略编辑器会在规
则旁边显示警告图标。有关详细信息,请参阅
则旁边显示警告图标。有关详细信息,请参阅
。
•
系统无法解密使用匿名密码套件加密的流量。如果向
Cipher Suite
条件中添加匿名密码套件,
则在 SSL 规则中无法使用
Decrypt - Resign
或
Decrypt - Known Key
操作。
要按密码套件检查加密流量,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
在要按密码套件控制加密流量的 SSL 策略中,创建新的 SSL 规则或编辑现有规则。
有关详细说明,请参阅
。
步骤 2
在 SSL 规则编辑器中,选择 Cipher Suite 选项卡。
系统将显示 Cipher Suite 选项卡。
步骤 3
从
Available Cipher Suites
查找并选择要添加的密码套件,如下所示:
•
要即时添加可随后添加到条件中的密码套件列表,请点击
Available Cipher Suites
列表上方的添
加图标 (
);请参阅
。
•
要搜索将添加的密码套件和列表,请点击
Available Cipher Suites
列表上方的
Search by name or
value
提示,然后键入密码套件的名称或密码套件中的值。列表会在您键入内容时进行更新,
以显示匹配的密码套件。
要选择密码套件,请点击该密码套件。要选择多个密码套件,请使用 Shift 和 Ctrl 键,或者右键
单击,然后选择
单击,然后选择
Select All
。
步骤 4
点击
Add to Rule
将所选密码套件添加到
Selected Cipher Suites
列表。
您也可以拖放所选密码套件。
步骤 5
添加或继续编辑规则。
必须应用与 SSL 策略关联的访问控制策略以使更改生效;请参阅
。