Cisco 5510 ASA 内的 AIP 模块是否可以解密和检查 SSL 流量?
我询问了当地供应商(我所说的设备就是他们安装的),他们说 AIP 模块无法查看加密内容。我经常使用 Web 应用程序防火墙,因此熟悉在设备上安装 Web 证书以允许其查看 SSL 流量的功能。在带有 IPS 模块的 ASA 上,这是不可能的吗?
答案1
正确。ASA 不执行 SSL 终止(超出 WebVPN 和 AnyConnect VPN 所需的范围),因此无法提供解密的数据流供 AIP 检查。您需要在 ASA 前面放置其他可以执行 SSL 终止的东西,例如您提到的 Web 应用程序防火墙。一些负载平衡产品(例如 Cisco CSM-SSL)也可以做到这一点。