支持的域

任意

用户角色

• 管理员

• 访问管理员

• 网络管理员

a 解密策略的默认操作确定系统如何处理与策略中任何非监控规则都不匹配的可解密的已加密流量。当部署不包含任何 解密规则 规则的 a 解密策略时，默认操作确定如何处理网络上所有无法解密的流量。请注意，对于默认操作阻止的已加密流量，系统不会执行任何类型的检查。

要设置 解密策略 默认操作：

1. 如果尚未登录，请登录管理中心。

2. 请点击 策略 (Policies) > 访问控制 (Access Control) > 解密 (Decryption)。

3. 点击 解密策略名称旁边的 编辑（） 。

4. 在“默认操作”行中，点击列表中的以下操作之一。

首次创建 a 解密策略时，默认情况下将禁用记录默认操作所处理的连接。由于默认操作的日志记录设置也适用于无法解密的流量处理，默认情况下也将禁用记录无法解密的流量操作所处理的连接。

请注意，如果浏览器使用证书锁定验证服务器证书，则无法通过对服务器证书重新签名来解密此流量。有关详细信息，请参阅解密规则 准则和限制。

A 解密策略 的 高级设置 (Advanced Settings) 页面具有适用于为应用策略的 Snort 3 配置的所有受管设备的全局设置。

在运行以下命令的任何受管设备上，A 解密策略 高级设置都将被忽略：

• 早于 7.1 的版本

• Snort 2

阻止请求 ESNI 的流

加密服务器名称指示（ESNI [建议草案的链接]）是客户端告知 TLS 1.3 服务器其请求内容的一种方式。由于 SNI 会被加密，因此您可以选择阻止这些连接，因为系统无法确定服务器是什么。

禁用 HTTP/3 通告

此选项会从 TCP 连接中的 ClientHello 删除 HTTP/3 (RFC 9114)。HTTP/3 是 QUIC 传输协议的一部分，而不是 TCP 传输协议。阻止客户端通告 HTTP/3，可以防止可能隐藏在 QUIC 连接中的攻击和规避企图。

将不受信任的服务器证书传播到客户端

这仅适用于匹配解密 - 重新签名 (Decrypt - Resign) 规则操作的流量。

启用此选项可在服务器证书不受信任的情况下，使用托管设备上的证书颁发机构 (CA) 来替换服务器证书。不受信任的服务器证书是指未在 Cisco Secure Firewall Management Center 中列为受信任 CA 的证书。（对象 (Objects) > 对象管理 (Object Management) > PKI > 受信任 CA (Trusted CAs)）。

启用 TLS 1.3 解密

是否将解密规则应用于 TLS 1.3 连接。如果不启用此选项，则解密规则仅适用于 TLS 1.2 或更低版本的流量。请参阅TLS 1.3 解密最佳实践。

启用自适应 TLS 服务器身份探测

启用 TLS 1.3 解密时自动启用。 探测 是与服务器的部分 TLS 连接，其目的是获取服务器证书并将其缓存。（如果证书已缓存，则永远不会建立探测。）

如果在与解密策略关联的访问控制策略上禁用了 TLS 1.3 服务器身份发现，我们将尝试使用服务器名称指示 (SNI)，这并不可靠。

自适应 TLS 服务器身份探测发生在以下任何情况下，而不是在早期版本中的每个连接上发生：

• 证书颁发者 - 当解密规则的 DN 规则条件中的 颁发者 DN 值匹配时匹配。

  有关详细信息，请参阅可分辨名称 (DN) 规则条件。

• 证书状态 - 当解密规则中的任何 证书状态 条件匹配时匹配。

  有关详细信息，请参阅证书状态 解密规则 条件。

• 内部/外部证书 - 内部证书可以通过 解密 - 已知密钥 规则操作中使用的证书进行匹配；可以在 证书 规则条件中匹配外部证书。

  有关详细信息，请参阅 已知密钥解密（传入流量） 和 证书 解密规则 条件。

• 应用 ID - 可以通过访问控制策略或解密策略中的 应用 规则条件进行匹配。

  有关详细信息，请参阅应用规则条件。

• URL 类别 - 可以通过访问控制策略中的 URL 规则条件进行匹配。

  有关详细信息，请参阅URL 规则条件。

注	任何部署到 AWS 的设备都不支持启用自适应 TLS 服务器发现模式。Cisco Secure Firewall Threat Defense Virtual如果您有任何由 Cisco Secure Firewall Management Center管理的此类受管设备，则每次设备尝试提取服务器证书时，连接事件 PROBE_FLOW_DROP_BYPASS_PROXY 都会增加。