CIsco firepower vFTD配置SSL檢測和文件檢測 --- By 年糕泰迪

本文梳理記錄了經過Cisco MFC在firepower vFTD中部署應用層一些安全檢測防禦策略，包括SSL檢測/intrusion/File&malware策略以及驗證檢測過程，以及在部署過程當中的問題解決。
部署環境：MFC/vFTD（kvm版本6.2.3）
部署拓撲：

針對host1 部署File&Malware 檢測策略，對host2部署SSL 檢測策略。
部署前提爲以及部署了基本網絡通訊策略，確保hosts 可以正常對外通訊訪問。
部署過程：
1，首先爲SSL檢測製做自定義簽名證書用於SSL 檢測重簽名。

在對象管理中找到PKI ，開始生成CA

根據實際狀況填入相關組織信息，點擊 Generate self-signed CA ，開始生產自簽名證書，生產完畢後的證書是下面這樣的，這裏咱們把這個證書download 下來，後面會用到，在下載過程當中須要設定一個密碼，咱們要記住這個密碼後面也會用到

2,開始部署策略。

2.1 intrusion ，***策略因爲驗證環境比較複雜，因此暫時在這兒部署了一條內置策略，選擇的是balanced Security and connectivity ，記得保存。

2.2 FIle&Malware

新建一條名爲demo的策略。這裏能夠選擇文件傳輸載體的應用的類型（HTTP/FTP/Mail/SMB），傳輸方向（upload/download）,採起的動做類型，（detect file /block file /Malware cloud lookup/block Malware），對於reset connection 的選項勾選後若是策略觸發了後，終端客戶端會有提示網絡被reset了，若是不勾選那麼終端不會有提示直至網絡超時，因此建議勾選。store files 選項，對於觸發了策略的文件MFC會留存一份，以便追溯查看，這個根據實際狀況來。下面就是選擇須要檢測的文件類型，我這裏選擇的是可執行文件和office文檔。
我這邊定義的demo策略就比較嚴格了，目的是禁止任何形式的執行文件或office文檔的下載和上傳。
2.3 SSL

對於SSL策略的行爲有不少種，這次演示部署的是解密-重簽名，也就是指定檢測ssl數據報文本來是client端到server端加密通訊，但在通過vFTD後，VFTD將SSL卸載並利用自有簽名證書對數據報進行簽名後送出，這個是面向client端的，在用戶端咱們看到相應數據的證書使用的是自簽名證書，數據在迴應server端的時候繼續被替換爲原報文的證書。
這裏選擇重簽名的時候就須要咱們簽名提到的自簽名的內部證書了，要選擇對應證書，再下面選項就是肯定數據包安全區就流向，網絡範圍，用戶等一系列自定義選項，最後logging配置必定要選，不然該策略沒有對應日誌查看。
重點：
上面的network選項一點要注意，這裏肯定了須要進行SSL檢測的網絡通訊範圍，由於SSL策略制定後是須要全局關聯到access control大策略的，若是vFTD種部署身份識別策略（如關聯了域帳號身份）一樣也須要注意範圍，不然管理了access control後會影響到其餘網段或者用戶，這個要根據實際狀況限定範圍。在SSL策略定義好以後，對於不在檢測範圍內的流量最後會有一個Default Action ，是不解密仍是block要慎重選擇，建議do not decrypt ,不然不在範圍的SSL數據報文都會被block掉。

最後是對沒法解密的數據報文要採起的動做，沒法解密的數據報文狀況分如下一些類型，示例種採用的是系統默認選項，能夠自定義。

2.4策略關聯
回到Access control大策略中，這裏須要關聯上面指定的SSL檢測策略（demo），我在SSL策略network中選的網絡對象只有10.10.20.2一臺主機，因此在這裏關聯後SSL檢測也只對這一臺主機的SSL報文檢測生效，因爲Default action是不解密，因此10.10.20.1的SSL 報文是不作檢測的。

對於10.10.20.1部署的是前面指定的intrusion 和FIle&Malware策略。

說明：對於Access control策略中的Action ，如allow 是指定義的流量容許經過vFTD流向下一個報文處理模塊，也就是書報文會繼續被其餘策略進行檢測以決定是否轉發，只有選擇了Trust後指定流量纔不會進行後續的安全檢測。
2.5 策略阻塞提示頁面
這裏用了指定但用戶端觸發block策略後再瀏覽器展現給用戶的反饋頁面信息，有系統默認和自定義頁面展現。

以上策略所有制定完成後，保存，並部署到vFTD中。
3，部署驗證
3.1
①驗證host1 10.10.20.1 File 檢測策略是否生效。

上面能夠看到exe文件在經過ftp下載時，鏈接被重置，

一樣office文檔也在下載時被重置，用戶端驗證生效。
接下來再經過MFC events中查看相應日誌。

在analysis-File events中查看log ，發現有exe和office文檔block記錄，點擊文檔類型就能夠看到詳細內容。

驗證File&Malware策略生效。
②驗證host2 10.10.20.2 SSL檢測策略是否生效。

早host2中咱們訪問https://www.cisco.com 這時候瀏覽器提示網站證書不是可信證書，這種狀況是咱們常常遇到的，固然咱們能夠手動添加排除後繼續訪問，但咱們總不能對全部的網站都手動添加例外，由於在不是了SSL resign策略後全部的https站點證書在用戶端瀏覽都不是server簽發的可信任證書而是咱們的自簽名證書，這個不是權威CA辦法了瀏覽器確定時不可信的，這樣操做麻煩也影響用戶體驗，解決這個問題就要提到以前製做保存的自簽名證書了，咱們能夠把自簽名添加到Windows系統中做爲可信任證書。

下面的方式時對於單個用戶而言操做，在實際生產環境可經過域控組策略見自簽名證書推送到域內主機便可，簽發的證書咱們要留意有效期，必須證書失效影響用戶體驗。
首先打開Internet option ，找到certificates，再找到受信任根證書權威機構，import咱們以前保存的自簽名證書（注意咱們導出的證書後綴時.p12格式，在導入的時候選擇支持這個格式，不然會找不到保存的證書）。

導入過程當中須要輸入一個密碼，這個就是咱們當時再製造完成後下載證書時輸入的密碼。導入完成後，咱們的自簽名證書再Windows中就成了可信證書了，這時候瀏覽器就不會再彈出非受信警告了。

接下來從新打開一個瀏覽器，繼續訪問，這時候新打開的瀏覽器沒有報證書警告，並且地址欄中也顯示當前訪問的網站時加密安全的。

接下來咱們再看看此時的這個證書信息。

這是咱們自簽名的證書，而正常不通過SSL檢測時站點的證書是 Cisco server端下發的證書。

一樣咱們再從MFC的event中看看相應的log。再connection event 中咱們選擇對源IP查詢後能夠看到hosts訪問的全部瀏覽，其中ssl流量咱們能夠很清除的看到匹配的是SSL哪一個策略，以及訪問的URL。

而在不匹配SSL檢測的host1中訪問的SSL流量咱們也看看是什麼信息，很明顯對於https流量只能看到域名，其餘路徑及訪問內容是看不見的，不解密固然是看不見的。

另外這裏顯示的日誌字段能夠根據查詢須要自定義顯示，點擊右鍵就能夠選擇，有幾十個字段可供選擇。
到這裏部署和驗證工做就結束了。