SSL 数据流
入侵防御模块支持过滤 SSL 流量。SSL 对话框允许用户针对一个或多个接口上指定的凭证-端口对创建 SSL 配置。凭证可以使用 PKCS#12 或 PEM 格式导入,而 Windows 计算机可以选择直接使用 CryptoAPI。
在计算机上配置 SSL 数据流过滤
启动 SSL 配置向导
在要配置的计算机上打开详细信息窗口,转至入侵防御 > 高级 > SSL 配置,然后单击查看 SSL 配置...以显示 SSL 计算机配置窗口。单击新建,显示 SSL 配置向导的第一页。
1. 选择接口
指定此配置是应用到此计算机上所有接口,还是只应用到一个接口。
2. 选择端口
输入要应用此配置的端口(使用逗号隔开),或者选择“端口列表”。
3. IP 选择
指定 SSL 入侵防御分析应在此计算机的所有 IP 地址执行,还是只在一个地址执行。(可使用此功能设置单个计算机上的多台虚拟计算机。)
4. 指定凭证来源
指定您要自行提供凭证文件,还是计算机上已有凭证。
5. 指定凭证类型
如果选择立即提供凭证,请输入其类型、位置和密码短语(如果需要)。
如果您指示计算机上已有凭证,请指定要查找的凭证类型。
6. 提供凭证详细信息
如果是使用存储在计算机上的 PEM 或 PKCS#12 凭证格式,请标识凭证文件的位置和文件的密码短语(如果需要)。
如果使用的是 Windows CryptoAPI 凭证,请从计算机上找到的凭证列表中选择凭证。
下表包含支持的密码列表:
| 十六进制值 | OpenSSL 名称 | IANA 名称 | NSS 名称 | 趋势科技服务器深度安全防护系统客户端版本 |
|---|---|---|---|---|
| 0x00,0x04 | RC4-MD5 | TLS_RSA_WITH_RC4_128_MD5 | SSL_RSA_WITH_RC4_128_MD5 | 4.5 或更高版本 |
| 0x00,0x05 | RC4-SHA | TLS_RSA_WITH_RC4_128_SHA | SSL_RSA_WITH_RC4_128_SHA | 4.5 或更高版本 |
| 0x00,0x09 | DES-CBC-SHA | TLS_RSA_WITH_DES_CBC_SHA | SSL_RSA_WITH_DES_CBC_SHA | 4.5 或更高版本 |
| 0x00,0x0A | DES-CBC3-SHA | TLS_RSA_WITH_3DES_EDE_CBC_SHA | SSL_RSA_WITH_3DES_EDE_CBC_SHA | 4.5 或更高版本 |
| 0x00,0x2F | AES128-SHA | TLS_RSA_WITH_AES_128_CBC_SHA | TLS_RSA_WITH_AES_128_CBC_SHA | 4.5 或更高版本 |
| 0x00,0x35 | AES256-SHA | TLS_RSA_WITH_AES_256_CBC_SHA | TLS_RSA_WITH_AES_256_CBC_SHA | 4.5 或更高版本 |
| 0x00,0x3C | AES128-SHA256 | TLS_RSA_WITH_AES_128_CBC_SHA256 | TLS_RSA_WITH_AES_128_CBC_SHA256 | 9.5 SP1 或更高版本 |
| 0x00,0x3D | AES256-SHA256 | TLS_RSA_WITH_AES_256_CBC_SHA256 | TLS_RSA_WITH_AES_256_CBC_SHA256 | 9.5 SP1 或更高版本 |
| 0x00,0x41 | CAMELLIA128-SHA | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA | 9.5 SP1 或更高版本 |
| 0x00,0x84 | CAMELLIA256-SHA | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA | 9.5 SP1 或更高版本 |
| 0x00,0xBA | TLS_RSA_WITH_CAMELLIA_128_CBC_SHA256 | 9.5 SP1 或更高版本 | ||
| 0x00,0xC0 | DES-CBC3-MD5 | TLS_RSA_WITH_CAMELLIA_256_CBC_SHA256 | 9.5 SP1 或更高版本 | |
| 0x00,0x7C | TLS_RSA_WITH_3DES_EDE_CBC_RMD160 | 4.5 或更高版本 | ||
| 0x00,0x7D | TLS_RSA_WITH_AES_128_CBC_RMD160 | 4.5 或更高版本 | ||
| 0x00,0x7E | TLS_RSA_WITH_AES_256_CBC_RMD160 | 4.5 或更高版本 |
下表包含支持的协议列表:
| 协议 | 趋势科技服务器深度安全防护系统客户端版本 |
|---|---|
| SSL 3.0 | 4.5 或更高版本 |
| TLS 1.0 | 4.5 或更高版本 |
| TLS 1.1 | 9.5 SP1 或更高版本 |
| TLS 1.2 | 9.5 SP1 或更高版本 |
7. 命名和说明此配置
为此 SSL 配置命名并提供描述。
8. 仔细检查“摘要”并关闭“SSL 配置向导”
阅读配置操作的摘要,再单击完成关闭向导。
更改计算机“详细信息”窗口上的端口设置以监控 SSL 端口
最后,您必须确保客户端在启用 SSL 的端口上执行适当的入侵防御过滤。转至计算机详细信息窗口中的入侵防御规则,查看应用到此计算机的入侵防御规则列表。按应用程序类型对规则进行排序。向下滚动列表,查找在此计算机上运行的应用程序类型(在此示例中将使用“Web Server Common”)。
右键单击“Web Server Common”应用程序类型标题,再选择应用程序类型属性...(而非应用程序类型属性 (全局)...)。这将会显示应用程序类型的属性窗口(以本地编辑模式)。
我们不使用已继承的“HTTP”端口列表,而是要覆盖它,以包括 SSL 配置设置过程中定义的端口(在此例中为端口 9090)和端口 80。以逗号分隔值输入端口 9090 和 80,然后单击确定关闭对话框。(由于您选择了应用程序类型属性...,因此所做的更改只会应用到此计算机。"Web Server Common" 应用程序类型在其他计算机上将保持不变。)
此计算机现在已配置好过滤 SSL 加密的数据流。