解密规则 和策略示例

本章以本指南中讨论的概念为基础,提供包含遵循我们的最佳实践和建议的 解密规则 的 SSL 策略具体示例。您应该能够将此示例应用于自己的情况,使其适应您的组织的需求。

简而言之:

  • 对于受信任的流量(例如传输大型压缩服务器备份),可使用预过滤和流量分流完全绕过检查。

  • 将可以快速评估的任何 解密规则 规则放在 最前面 ,例如适用于特定 IP 地址的规则。

  • 将需要处理的任何规则、 解密 - 重新签署规则以及阻止不安全协议版本和密码套件的 解密规则 放在 最后

解密规则 最佳实践

本章提供了 解密策略 的一个示例 解密规则 ,用于说明我们的最佳实践和建议。首先,我们将讨论 解密策略 和访问控制策略的设置,然后再介绍所有规则以及我们建议以特定方式对其进行排序的原因。

以下是我们将在本章中讨论的 解密规则

示例 SSL 策略包含几个从最简单到最复杂的规则;这使得系统能够快速处理匹配最简单规则的流量,并为系统提供更多时间来匹配更复杂的规则。

以下主题提供更多信息。

使用预过滤器和数据流分流绕过检测

在系统执行更多资源密集型评估之前,预过滤是访问控制的第一阶段。预过滤非常简单、快速并且可以及早执行。预过滤使用有限的外部报头条件来快速处理流量。将此过滤操作与后续评估进行比较,后续评估使用内部报头并具有更强大的检测功能。

配置预过滤:

  • 提高性能 - 越早排除不需要检查的流量,越好。您可以基于隧道的外部封装报头传递隧道为某些类型的明文设置快速路径或加以阻止,而不检查其封装的连接。您还可以为从及早处理中受益的其他任何连接设置快速路径或加以阻止。

  • 为封装流量定制深度检查 - 您可以对某些类型的隧道重新分区,以便以后可以使用相同的检查条件处理其封装的连接。重新分区是必要的,因为在预过滤后,访问控制使用内部报头。

如果有可用的 Firepower 4100/9300,则可以使用大型流量分流,这种技术可以让受信任的流量绕过检测引擎以获得更好的性能。例如,您可以在数据中心使用它来传输服务器备份。

不解密最佳实践

记录流量

我们建议不要创建未记录任何内容的不解密规则,因为这些规则在托管设备上仍需要处理时间。如果设置了任何类型的 解密规则 启用日志记录 ,以便您可以查看匹配的流量。

无法解密的流量准则

我们可以确定某些流量不可解密,要么是因为网站本身不可解密,要么是因为该网站使用了 TLS/SSL 锁定,这有效地阻止了用户访问其浏览器中没有错误的已解密网站。

有关证书锁定的详细信息,请参阅关于 TLS/SSL 锁定

我们维护的这些站点的列表如下:

  • 名为 Cisco-Undecryptable-Sites 的可分辨名称 (DN) 组

  • 已固定证书应用过滤器

如果您正在解密流量,并且不希望用户在访问这些站点时在其浏览器中看到错误,我们建议您在 解密规则 底部设置不解密规则

解密向导会创建“不解密”规则,以防止对流向固定证书站点的流量进行解密。

设置已固定证书应用过滤器的示例如下。

在“不解密”规则中使用“应用”类型的已固定证书可防止用户浏览固定站点时出错

解密 - 重新签名和解密 - 已知密钥最佳实践

本主题讨论 解密 - 重新签名解密 - 已知密钥 解密规则的最佳实践。

解密 - 使用证书锁定的重新签名最佳实践

某些应用使用称为 TLS/SSL 锁定证书锁定的技术,其在应用自身中嵌入原始服务器证书的指纹。因此,如果您配置具有解密 - 重签操作的 解密规则,则应用从受管设备收到重签的证书时,验证会失败且连接会中止。

由于 TLS/SSL 锁定用于避免中间人攻击,因此无法不能将其阻止或绕过。您有以下选择:

  • 为排在解密 - 重签规则之前的应用创建不解密规则。

  • 指示用户使用网络浏览器访问应用。

有关证书锁定的详细信息,请参阅关于 TLS/SSL 锁定

解密 - 已知密钥最佳实践

由于解密 - 已知密钥规则操作用于流向内部服务器的流量,因此应始终将目标网络添加到这些规则( 网络规则条件)。这样,流量会直接进入服务器所在的网络,从而减少网络上的流量。

优先考虑 解密规则

将数据包的第一部分可以匹配的任何规则放在最前面;例如,引用 IP 地址的规则(网络规则条件)。

解密规则最后

具有以下规则条件的规则应在 解密之前立即排序 规则应在最后 ,因为这些规则要求系统在最长时间内检查流量:

  • 应用

  • 类别 (Category)

  • 证书

  • 可分辨名称 (DN)

  • 证书状态

  • 密码套件

  • Version

解密策略 逐步指导

本章提供有关如何使用我们的最佳实践规则来创建 解密策略 的分步讨论和演练。您将看到 解密策略的预览,然后是最佳实践的概要,最后是对策略中规则进行的讨论。

以下是我们将在本章中讨论的 解密策略

示例 SSL 策略包含几个从最简单到最复杂的规则;这使得系统能够快速处理匹配最简单规则的流量,并为系统提供更多时间来匹配更复杂的规则。

有关详细信息,请参阅以下各节之一:

建议的策略和规则设置

我们建议使用以下策略设置:

  • 解密策略

    • 默认操作:不解密

    • 启用日志记录。

    • SSL v2 会话 (SSL v2 Session)压缩会话 (Compressed Session)无法解密的操作 (Undecryptable Actions) 同时设置为阻止 (Block)

    • 在策略的高级设置中启用 TLS 1.3 解密。

  • 解密规则:为每个规则启用日志记录,但具有 不解密 规则操作的规则除外。(这取决于您;如要查看有关未解密的流量的信息,请同时启用这些规则的日志记录。)

  • 访问控制策略:

    • 解密策略 与访问控制策略关联。(如果不这样做, 解密策略 和规则将不会起作用。)

    • 将默认策略操作设为入侵防御:平衡安全性和连接 (Intrusion Prevention: Balanced Security and Connectivity)

    • 启用日志记录。

解密策略 设置

如何为 解密策略配置以下建议的最佳实践设置:

  • 默认操作:不解密

  • 启用日志记录。

  • SSL v2 会话 (SSL v2 Session)压缩会话 (Compressed Session)无法解密的操作 (Undecryptable Actions) 同时设置为阻止 (Block)

  • 在策略的高级设置中启用 TLS 1.3 解密。

过程

步骤 1

如果尚未登录,请登录Cisco Secure Firewall Management Center

步骤 2

请点击 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)

步骤 3

点击 解密策略旁边的 编辑编辑图标

步骤 4

从页面底部的默认操作 (Default Action) 列表中,点击不解密 (Do Not Decrypt)

下图显示了一个示例。

步骤 5

在行的末尾位置,点击 日志记录日志记录图标

步骤 6

选中在连接结束时记录 (Log at End of Connection) 复选框。

步骤 7

点击确定 (OK)

步骤 8

点击保存 (Save)

步骤 9

选择无法解密的操作 (Undecryptable Actions) 选项卡。

步骤 10

我们建议将 SSLv2 会话 (SSLv2 Session)压缩的会话 (Compressed Session) 的操作设置为阻止 (Block)

您的网络上不应允许 SSL v2,并且不支持压缩的 TLS/SSL 流量,因此您也应阻止该流量。

有关设置每个选项的详细信息,请参阅《Cisco Secure Firewall Management Center 设备配置指南》的部分。

下图显示了一个示例。

此示例 SSL 策略会阻止使用不受支持的 SSL v2 协议或不受支持的压缩会话的所有流量。

步骤 11

点击高级设置 (Advanced Settings) 选项卡页面。

步骤 12

选中启用 TLS 1.3 解密 (Enable TLS 1.3 Decryption) 复选框。有关其他选项的详细信息,请参阅 解密策略 高级选项有关其他选项的详细信息,请参阅 。

解密策略 高级选项使您能够设置与版本相关的选项,例如启用 TLS 服务器身份探测

步骤 13

在该页面顶部,点击保存
下一步做什么

配置 解密规则 规则并设置每个规则,如 解密规则 设置中所述。

访问控制策略设置

如何为访问控制策略配置以下建议的最佳实践设置:

  • 解密策略 与访问控制策略关联。(如果不这样做, 解密策略 和规则将不会起作用。)

  • 将默认策略操作设为入侵防御:平衡安全性和连接 (Intrusion Prevention: Balanced Security and Connectivity)

  • 启用日志记录。

过程

步骤 1

如果尚未登录,请登录Cisco Secure Firewall Management Center

步骤 2

请点击 策略 > 访问控制

步骤 3

单击访问控制策略旁边的 编辑编辑图标

步骤 4

(如果尚未设置解密策略,可以稍后执行此操作。)

  1. 点击页面顶部的 解密 链路,如下图所示。

    要让解密策略生效,必须将其与访问控制策略相关联。

  2. 从列表中,点击解密策略的名称。

  3. 点击 Apply

  4. 在该页面顶部,点击保存

步骤 5

从页面底部的默认操作 (Default Action) 列表中,点击入侵防御:平衡安全性和连接 (Intrusion Prevention: Balanced Security and Connectivity)

下图显示了一个示例。

步骤 6

请点击 日志记录日志记录图标

步骤 7

选中在连接结束时记录 (Log at End of Connection) 复选框并点击确定 (OK)

步骤 8

单击保存
下一步做什么

请参阅解密规则 示例

解密规则 示例

部分 提供说明最佳实践的 解密规则 规则示例。

有关详细信息,请参阅以下各节之一:

要预过滤的流量

在系统执行更多资源密集型评估之前,预过滤是访问控制的第一阶段。与后续评估相比,预过滤简单、快速、及时,它使用内部报头并具有更强大的检测功能。

根据您的安全需求和流量量变曲线,您应该考虑使用预过滤,以便从任何策略和检查中排除以下内容:

  • 常见的办公室内应用,例如 Microsoft Outlook 365

  • 大象流,例如服务器备份

优先 解密规则:不解密特定流量

示例中的第一条 解密规则 不会解密流向 内部网络(定义为 intranet )的流量。不解密规则操作会在 ClientHello 期间进行匹配,因此处理速度非常快。

如果流量进入内部网络,则此示例规则会允许未解密的流量通过。


如果您有从内部 DNS 服务器流向内部 DNS 解析器(例如思科 Umbrella 虚拟设备)的流量,则还可以为其添加不解密规则。如果内部 DNS 服务器会执行自己的日志记录,您甚至可以将这些添加到预过滤策略。

但是,我们强烈建议您不要对进入互联网的 DNS 流量使用不解密规则或预过滤,例如互联网根服务器(例如,Active Directory 中内置的 Microsoft 内部 DNS 解析器)。在这些情况下,您应该全面检查流量,甚至考虑阻止它。

在此规则中,您可以在“网络”(Networks) 选项卡页面上指定先前定义的内部网络。要定义内部网络,请转至“对象”(Objects) >“对象管理”(Object Management) >“网络”(Network)。

下一条解密规则:解密特定测试流量

在本例中,下一条规则为可选;使用它来解密和监控有限类型的流量,然后再确定是否允许它在您的网络上使用。

此示例规则会解密并监控流量,以便您可以决定是否允许其在网络上使用。

规则详细信息:

有关规则的详细信息;它正在解密发往占星网站的流量。

有关规则的详细信息;它正在解密发往占星网站的流量。

不解密低风险类别、信誉或应用

评估网络上的流量,以确定哪些流量与低风险类别、信誉或应用相匹配,并使用不解密操作来添加这些规则。将这些规则放在其他更具体的不解密规则之后,因为系统需要更多时间来处理流量。

以下为示例。

这些示例规则允许与低风险类别、信誉和应用匹配的无解密流量。

规则详细信息:

此示例规则在“应用”(Applications) 选项卡页面上指定匹配“低”和“极低”风险类别。

此外,在“应用”(Applications) 选项卡页面上,您可以指定您认为风险较低的应用;在本例中为 Facebook、Facebook Message 和 Facebook Photos。您还可以从解密中排除任何使用证书锁定的网站。

创建解密 - 类别的重新签名规则

本主题展示为除未分类站点外的所有站点创建包含 解密 - 重新签名 操作的 解密规则 的示例。该规则使用可选的仅替换密钥 (Replace Key Only) 选项,我们始终建议将其与解密 - 重新签名 (Decrypt-Resign) 规则操作配合使用。

当用户浏览到使用自签名证书的站点时,仅替换密钥 (Replace Key Only) 会导致用户在 Web 浏览器中看到安全警告,使用户知道他们正在与不安全的站点通信。

通过将此规则放在底部附近,您可以兼顾两者:您可以解密和(可选)检查流量,同时不会影响性能,就像您将规则放在策略中一样。

过程

步骤 1

如果尚未登录,请登录Cisco Secure Firewall Management Center

步骤 2

如果尚未执行此操作,请将内部证书颁发机构 (CA) 上传到 Cisco Secure Firewall Management Center对象 > 对象管理,然后 PKI > 内部 CA (Internal CAs))。

步骤 3

请点击 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)

步骤 4

点击 解密策略旁边的 编辑编辑图标

步骤 5

单击添加规则 (Add Rule)

步骤 6

名称 (Name) 字段中,输入用于标识规则的名称。

步骤 7

操作 (Action) 列表中,点击解密 - 重新签名 (Decrypt - Resign)

步骤 8

与 (with) 列表中,点击内部 CA 的名称。

步骤 9

选中仅替换密钥 (Replace Key Only) 框。

下图显示了一个示例。

在您的“解密 - 重新签名”(Decrypt - Resign) 规则中,建议您选中“仅替换密钥”(Replace Key Only) 框,以便使用自签名证书访问网站的用户会在其浏览器中收到警告。

步骤 10

点击类别 (Category) 选项卡页面。

步骤 11

类别 (Categories) 列表的顶部,点击任何(未分类除外)(Any [Except Uncategorized])

步骤 12

信誉 (Reputations) 列表中,点击任意 (Any)

步骤 13

点击添加至规则

下图显示了一个示例。

对于此规则,在“类别”(Category) 选项卡页面上的“类别”(Category) 列表中,点击“任何(未分类除外)”(Any [Except Uncategorized]) ;在“信誉”(Reputation) 列表中,点击“任意”(Any),然后点击“添加到规则” (Add to Rule)。

:阻止或监控证书和协议版本

由于最后的 解密规则最具体且需要最多的处理,因此它们是监控或阻止不良证书和不安全协议版本的规则。

这些示例规则会阻止使用错误证书或旧 TLS/SSL 协议版本的流量。

规则详细信息:

此示例规则会允许有效证书并阻止其余证书(例如,无效证书)。

此示例规则会阻止使用 SSL 3.0 或 TLS 1.0 协议的流量。

示例: 解密规则 监控或阻止证书状态的规则

由于最后的 解密规则最具体且需要最多的处理,因此它们是监控或阻止不良证书和不安全协议版本的规则。本部分中的示例显示如何按证书状态监控或阻止流量。


在具有阻止阻止并重置规则操作的规则中使用密码套件 (Cipher Suite)版本 (Version) 规则条件。在具有其他规则操作的规则中使用这些条件可能会干扰系统的 ClientHello 处理,从而导致不可预测的性能。

过程

步骤 1

如果尚未登录,请登录Cisco Secure Firewall Management Center

步骤 2

请点击 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)

步骤 3

点击 解密策略旁边的 编辑编辑图标

步骤 4

单击 解密规则旁的 编辑编辑图标

步骤 5

单击添加规则 (Add Rule)

步骤 6

在“添加规则”(Add Rule) 对话框中,在名称 (Name) 字段中输入规则的名称。

步骤 7

点击证书状态 (Cert Status)

步骤 8

就每个证书状态而言,有以下选项:

  • 点击是(Yes) 可根据该证书状态是否存在进行匹配。

  • 点击否 (No) 可根据该证书状态是否缺失进行匹配。

  • 点击任意 (Any) 可在匹配规则时跳过条件。换言之,选择任意意味着无论证书状态是否存在都与该规则匹配。

步骤 9

操作 (Action) 列表中,点击监控 (Monitor) 以仅监控和记录与规则匹配的流量,或点击阻止 (Block)阻止并重置 (Block with Reset) 以阻止流量并选择性地重置连接。

步骤 10

要保存对规则的更改,请点击页面底部的添加 (Add)

步骤 11

要保存对策略的更改,请点击页面顶部的保存 (Save)
示例

组织信任 Verified Authority 证书颁发机构。组织不信任 Spammer Authority 证书颁发机构。系统管理员将 Verified Authority 证书和由 Verified Authority 颁发的中间 CA 证书上传到系统。由于“已验证颁发机构”已撤销它以前颁发的证书,因此系统管理员上传该“已验证颁发机构”提供的 CRL。

下图说明用于检查有效证书、由“已验证颁发机构”颁发的证书、不在 CRL 上的证书以及仍在有效开始日期和有效结束日期内的证书的证书状态规则条件。受配置原因的影响,未通过访问控制来解密和检查使用这些证书加密的流量。

含有规则条件的 SSL 策略示例,该规则条件与不在 CRL 中但具有有效日期的有效证书匹配

下图显示用于检查状态是否缺失的证书状态规则条件。在此情况下,由于配置原因,它与使用尚未到期的证书加密的流量相匹配。

含有规则条件的 SSL 策略示例,这些规则条件与缺少状态匹配

在下面的示例中,如果传入流量使用的证书具有无效的颁发者、自签名、已过期且是无效证书,则流量会与此规则条件匹配。

使用多个条件匹配 SSL 策略规则的示例

使用多个条件匹配 SSL 策略规则的示例

下图展示了一个证书状态规则条件,如果请求的 SNI 与服务器名称匹配或者 CRL 无效,则会与该规则条件匹配。

与服务器 SNI 名称或无效 CRL 匹配的 SSL 策略规则示例

示例:用于监控或阻止协议版本的 解密规则

本示例显示了如何阻止网络上不再被视为安全的 TLS 和 SSL 协议,例如 TLS 1.0、TLS 1.1 和 SSLv3。包含这些内容是为了让您更详细地了解协议版本规则的工作方式。

您应该从网络中排除不安全的协议,因为它们都可能会被利用。在本例中:

  • 您可以使用 解密规则上的版本 (Version) 页面来阻止某些协议。

  • 由于系统会将 SSLv2 视为无法解密,因此您可以对 解密策略使用 无法解密的操作 来阻止它。

  • 同样,由于不支持压缩的 TLS/SSL,因此您也应将其阻止。


在具有阻止阻止并重置规则操作的规则中使用密码套件 (Cipher Suite)版本 (Version) 规则条件。在具有其他规则操作的规则中使用这些条件可能会干扰系统的 ClientHello 处理,从而导致不可预测的性能。

过程

步骤 1

如果尚未登录,请登录Cisco Secure Firewall Management Center

步骤 2

请点击 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)

步骤 3

点击 解密策略旁边的 编辑编辑图标

步骤 4

单击 解密规则旁的 编辑编辑图标

步骤 5

单击添加规则 (Add Rule)

步骤 6

在“添加规则”(Add Rule) 对话框中,在名称 (Name) 字段中输入规则的名称。

步骤 7

操作 (Action) 列表中,点击阻止 (Block)阻止并重置 (Block with reset)

步骤 8

点击版本 (Version) 页面。

步骤 9

选中不再安全的协议的复选框,例如 SSL v3.0TLS 1.0TLS 1.1。取消选中仍被视为安全的任何协议的复选框。

下图显示了一个示例。

此示例规则阻止使用 SSL 3.0、TLS 1.0 或 TLS 1.1 的流量,因为此类流量很容易被黑客攻击且不安全。

步骤 10

根据需要选择其他规则条件。

步骤 11

点击添加 (Add)
可选示例:监控或阻止证书可分辨名称的 解密规则

包含此规则是为了让您了解如何根据服务器证书的可分辨名称来监控或阻止流量。将其包含在内是为了向您提供更多详细信息。

可分辨名称可以包含国家/地区代码、公用名、组织和组织单位,但通常只会包含一个公用名。例如,https://www.cisco.com 的证书中的公用名为 cisco.com。(但这并非总是那么简单;可分辨名称 (DN) 规则条件中的可分辨名称规则条件部分介绍了如何查找常用名称。)

客户端请求中 URL 的主机名部分是服务器名称指示 (SNI)。客户端会使用 TLS 握手中的 SNI 扩展名来指定要连接的主机名(例如,auth.amp.cisco.com)。然后,服务器会选择在单个 IP 地址上托管所有证书时建立连接所需的相应私钥及证书链。

过程

步骤 1

如果尚未登录,请登录Cisco Secure Firewall Management Center

步骤 2

请点击 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)

步骤 3

点击 解密策略旁边的 编辑编辑图标

步骤 4

单击 解密规则旁的 编辑编辑图标

步骤 5

单击添加规则 (Add Rule)

步骤 6

在“添加规则”(Add Rule) 对话框中,在名称 (Name) 字段中输入规则的名称。

步骤 7

操作 (Action) 列表中,点击阻止 (Block)阻止并重置 (Block with reset)

步骤 8

点击 DN

步骤 9

可用 DN (Available DNs) 中查找要添加的可分辨名称,如下所示:

  • 要即时添加可随后添加到条件中的可分辨名称,请点击可用 DN (Available DNs) 列表上方的 添加添加图标

  • 要搜索将添加的可分辨名称对象和组,请点击可用 DN (Available DNs) 列表上方的按名称或值搜索 (Search by name or value) 提示,然后键入对象的名称或对象中的值。列表会在您键入内容时进行更新,以显示匹配的对象。

步骤 10

要选择对象,请点击该对象。要选择所有对象,请点击右键,然后是 全选

步骤 11

点击添加到使用者 (Add to Subject)添加到颁发者 (Add to Issuer)

提示

 

您也可以拖放选定对象。

步骤 12

添加要手动指定的所有文本公用名或可分辨名称。点击使用者 DN (Subject DNs)颁发者 DN (Issuer DNs) 列表下方的输入 DN 或 CN (Enter DN or CN) 提示,然后键入公用名或可分辨名称并点击添加 (Add)

虽然您可以将 CN 或 DN 添加到任一列表,但更常见的是将它们添加到使用者 DN (Subject DNs) 列表。

步骤 13

添加或继续编辑规则。

步骤 14

完成后,要保存对规则的更改,请点击页面底部的添加

步骤 15

要保存对策略的更改,请点击页面顶部的保存 (Save)
示例

下图显示了用于搜索向 goodbakery.example.com 颁发或由 goodca.example.com 颁发的证书的可分辨名称规则条件。根据访问控制,允许通过这些证书加密的流量。

此示例规则条件将 GoodBakery 可分辨名称添加到“使用者 DN”(Subject DNs) 列表,并将其对应的公用名添加到“问题 DN”(Issue DNs) 列表。这会在使用者或颁发机构上匹配流量,但更常见的是只在使用者上进行匹配。

解密规则 设置

如何为 解密规则配置建议的最佳实践设置。

解密规则:为每个规则启用日志记录,但具有 不解密 规则操作的规则除外。(这取决于您;如要查看有关未解密的流量的信息,请同时启用这些规则的日志记录。)

过程

步骤 1

如果尚未登录,请登录Cisco Secure Firewall Management Center

步骤 2

请点击 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)

步骤 3

点击 解密策略旁边的 编辑编辑图标

步骤 4

单击 解密规则旁的 编辑编辑图标

步骤 5

单击日志记录选项卡。

步骤 6

点击在连接结束时记录 (Log at End of Connection)

步骤 7

单击保存

步骤 8

点击页面顶部的 Save