CIsco firepower vFTD配置SSL检测和文件检测 --- By 年糕泰迪

本文梳理记录了通过Cisco MFC在firepower vFTD中部署应用层一些安全检测防护策略，包括SSL检测/intrusion/File&malware策略以及验证检测过程，以及在部署过程中的问题解决。
部署环境：MFC/vFTD（kvm版本6.2.3）
部署拓扑：

针对host1 部署File&Malware 检测策略，对host2部署SSL 检测策略。
部署前提为以及部署了基本网络通信策略，确保hosts 能够正常对外通信访问。
部署过程：
1，首先为SSL检测制作自定义签名证书用于SSL 检测重签名。

在对象管理中找到PKI ，开始生成CA

根据实际情况填入相关组织信息，点击 Generate self-signed CA ，开始生产自签名证书，生产完毕后的证书是下面这样的，这里我们把这个证书download 下来，后面会用到，在下载过程中需要设定一个密码，我们要记住这个密码后面也会用到

2,开始部署策略。

2.1 intrusion ，***策略由于验证环境比较复杂，所以暂时在这儿部署了一条内置策略，选择的是balanced Security and connectivity ，记得保存。

2.2 FIle&Malware

新建一条名为demo的策略。这里可以选择文件传输载体的应用的类型（HTTP/FTP/Mail/SMB），传输方向（upload/download）,采取的动作类型，（detect file /block file /Malware cloud lookup/block Malware），对于reset connection 的选项勾选后如果策略触发了后，终端客户端会有提示网络被reset了，如果不勾选那么终端不会有提示直至网络超时，所以建议勾选。store files 选项，对于触发了策略的文件MFC会留存一份，以便追溯查看，这个根据实际情况来。下面就是选择需要检测的文件类型，我这里选择的是可执行文件和office文档。
我这边定义的demo策略就比较严格了，目的是禁止任何形式的执行文件或office文档的下载和上传。
2.3 SSL

对于SSL策略的行为有很多种，此次演示部署的是解密-重签名，也就是指定检测ssl数据报文原本是client端到server端加密通信，但在经过vFTD后，VFTD将SSL卸载并利用自有签名证书对数据报进行签名后送出，这个是面向client端的，在用户端我们看到相应数据的证书使用的是自签名证书，数据在回应server端的时候继续被替换为原报文的证书。
这里选择重签名的时候就需要我们签名提到的自签名的内部证书了，要选择对应证书，再下面选项就是确定数据包安全区就流向，网络范围，用户等一系列自定义选项，最后logging配置一定要选，否则该策略没有对应日志查看。
重点：
上面的network选项一点要注意，这里确定了需要进行SSL检测的网络通信范围，因为SSL策略制定后是需要全局关联到access control大策略的，如果vFTD种部署身份识别策略（如关联了域账号身份）同样也需要注意范围，否则管理了access control后会影响到其他网段或者用户，这个要根据实际情况限定范围。在SSL策略定义好之后，对于不在检测范围内的流量最后会有一个Default Action ，是不解密还是block要慎重选择，建议do not decrypt ,否则不在范围的SSL数据报文都会被block掉。

最后是对无法解密的数据报文要采取的动作，无法解密的数据报文情况分以下一些类型，示例种采用的是系统默认选项，可以自定义。

2.4策略关联
回到Access control大策略中，这里需要关联上面指定的SSL检测策略（demo），我在SSL策略network中选的网络对象只有10.10.20.2一台主机，所以在这里关联后SSL检测也只对这一台主机的SSL报文检测生效，由于Default action是不解密，所以10.10.20.1的SSL 报文是不做检测的。

对于10.10.20.1部署的是前面指定的intrusion 和FIle&Malware策略。

说明：对于Access control策略中的Action ，如allow 是指定义的流量允许通过vFTD流向下一个报文处理模块，也就是书报文会继续被其他策略进行检测以决定是否转发，只有选择了Trust后指定流量才不会进行后续的安全检测。
2.5 策略阻塞提示页面
这里用了指定但用户端触发block策略后再浏览器展示给用户的反馈页面信息，有系统默认和自定义页面展示。

以上策略全部制定完成后，保存，并部署到vFTD中。
3，部署验证
3.1
①验证host1 10.10.20.1 File 检测策略是否生效。

上面可以看到exe文件在通过ftp下载时，连接被重置，

同样office文档也在下载时被重置，用户端验证生效。
接下来再通过MFC events中查看相应日志。

在analysis-File events中查看log ，发现有exe和office文档block记录，点击文档类型就可以看到详细内容。

验证File&Malware策略生效。
②验证host2 10.10.20.2 SSL检测策略是否生效。

早host2中我们访问https://www.cisco.com 这时候浏览器提示网站证书不是可信证书，这种情况是我们经常遇到的，当然我们可以手动添加排除后继续访问，但我们总不能对所有的网站都手动添加例外，因为在不是了SSL resign策略后所有的https站点证书在用户端浏览都不是server签发的可信任证书而是我们的自签名证书，这个不是权威CA办法了浏览器肯定时不可信的，这样操作麻烦也影响用户体验，解决这个问题就要提到之前制作保存的自签名证书了，我们可以把自签名添加到Windows系统中作为可信任证书。

下面的方式时对于单个用户而言操作，在实际生产环境可通过域控组策略见自签名证书推送到域内主机即可，签发的证书我们要留意有效期，必须证书失效影响用户体验。
首先打开Internet option ，找到certificates，再找到受信任根证书权威机构，import我们之前保存的自签名证书（注意我们导出的证书后缀时.p12格式，在导入的时候选择支持这个格式，否则会找不到保存的证书）。

导入过程中需要输入一个密码，这个就是我们当时再制造完成后下载证书时输入的密码。导入完成后，我们的自签名证书再Windows中就成了可信证书了，这时候浏览器就不会再弹出非受信警告了。

接下来重新打开一个浏览器，继续访问，这时候新打开的浏览器没有报证书警告，而且地址栏中也显示当前访问的网站时加密安全的。

接下来我们再看看此时的这个证书信息。

这是我们自签名的证书，而正常不经过SSL检测时站点的证书是 Cisco server端下发的证书。

同样我们再从MFC的event中看看相应的log。再connection event 中我们选择对源IP查询后可以看到hosts访问的所有浏览，其中ssl流量我们可以很清除的看到匹配的是SSL哪个策略，以及访问的URL。

而在不匹配SSL检测的host1中访问的SSL流量我们也看看是什么信息，很明显对于https流量只能看到域名，其他路径及访问内容是看不见的，不解密当然是看不见的。

另外这里显示的日志字段可以根据查询需要自定义显示，点击右键就可以选择，有几十个字段可供选择。
到这里部署和验证工作就结束了。