Cisco 5510 ASA中的AIP模块是否可以解密和检查SSLstream量?
我已经问了我的本地供应商(谁放置了我所说的设备),他们说AIP模块不能检查encryption的内容。 我通常使用Web应用程序防火墙,因此熟悉在设备上安装Web证书的function,以便能够查看SSL通信。 在带有IPS模块的ASA上是不可能的?
正确。 ASA不执行SSL终止(超出WebVPN和AnyConnect VPN所需的终止),所以无法提供解密的数据stream供AIP检查。 您需要在可以执行SSL终止的ASA之前定位其他位置,例如Web应用程序防火墙,如您所述。 一些负载平衡产品(例如Cisco CSM-SSL)也可以做到这一点。