Unentschlüsselbaren Datenverkehr mittels SSL/TLS-Inspektionsregeln zulassen

Für vertrauenswürdige Websites, die SSL 2.0 und SSL 3.0, SSL-Komprimierung oder nicht erkannte Verschlüsselungssammlungen verwenden, können Sie Verbindungen ohne Entschlüsselung zulassen.

Einleitung

Um unentschlüsselbaren Datenverkehr zuzulassen, müssen Sie Folgendes tun:
  • Erstellen Sie ein Entschlüsselungsprofil, und legen Sie die Verbindungsparameter fest (SSL 2.0 und SSL 3.0, SSL-Komprimierung, nicht erkannte Verschlüsselungssammlungen), die ohne Entschlüsselung zulässig sind.
  • Erstellen Sie eine SSL/TLS-Inspektionsregel für Verbindungen, die Sie nicht entschlüsseln wollen. In diesem Beispiel verwenden Sie die Ziel-IP-Adresse, um Datenverkehr zu suchen, der mit den Regelkriterien übereinstimmt. Alternativ können Sie FQDN-Hostgruppen zur SSL/TLS-Inspektionsregel hinzufügen, um den passenden Datenverkehr zu finden.

Entschlüsselungsprofil erstellen, um unentschlüsselbaren Datenverkehr zuzulassen

Erstellen Sie ein Entschlüsselungsprofil, um Verbindungen mit SSL 2.0 und SSL 3.0, SSL-Komprimierung und nicht erkannten Verschlüsselungssammlungen ohne Entschlüsselung zuzulassen.

  1. Gehen Sie zu Profile > Entschlüsselungsprofile und klicken Sie auf Hinzufügen.
  2. Legen Sie die folgenden Einstellungen fest.

    Name

    Beschreibung

    Name

    Geben Sie einen Namen ein.

    Beispiel: Allow_non-decryptable_profile
    SSL 2.0 und SSL 3.0

    Zulassen ohne Entschlüsselung

    SSL-Komprimierung

    Zulassen ohne Entschlüsselung

    Nicht erkannte Verschlüsselungssammlungen

    Zulassen ohne Entschlüsselung
  3. Klicken Sie auf Speichern.

SSL/TLS-Regel für unentschlüsselbaren Datenverkehr erstellen

Erstellen Sie eine SSL/TLS-Regel ohne Entschlüsselung für vertrauenswürdige Verbindungen, die SSL 2.0 und SSL 3.0, SSL-Komprimierung und nicht erkannte Verschlüsselungssammlungen verwenden.

  1. Gehen Sie zu Regeln und Richtlinien > SSL/TLS-Inspektionsregeln und klicken Sie auf Hinzufügen.
  2. Geben Sie einen Namen ein.
  3. Legen Sie die folgenden Einstellungen fest.

    Name

    Beschreibung

    Maßnahme

    Nicht entschlüsseln

    Entschlüsselungsprofil

    Wählen Sie das von Ihnen erstellte Entschlüsselungsprofil aus.

    Allow_non-decryptable_profile

    Quellzone

    LAN

    Zielzonen

    WAN

    Zielnetzwerke

    Geben Sie die IP-Adresse der Website ein.

    Beispiel: 11.1.1.1
  4. Klicken Sie auf Speichern.