Cześć,
czy spotkaliście się z problemem deszyfracji ruchu na platformie ASA 5500-X? Przy włączonej deszyfracji SSL część losowego ruchu, który nie jest deszyfrowany jest cięta. Sensory SFR na ASA oraz FTD są się w najnowszej wersji.
Dzięki za wszystkie sugestie
ASA 5500-X, deszyfracja ssl, cięcie ruchu
Re: ASA 5500-X, deszyfracja ssl, cięcie ruchu
Za wyjątkiem 5585X, na wszystkich ASAch, sensor IPS Firepower pracuje jako moduł softwarowy. Jego wydajność to około 25-40% wydajności ASA w zależności od wykonywanych reguł i inspekcji, przy łączonej deszyfracji wydajność spada do około 5% (albo mniej). Generalnie nie jest zalecane włączanie deszyfracji SSL na ASA Firepower 5506-5555X. W wyjątkowych wypadkach można się pokusić o to na ASA 5545-5555X ale dla bardzo starannie wyselekcjonowanego ruchu.
“Two possibilities exist: either we are alone in the Universe or we are not. Both are equally terrifying.” - A.C.Clark
Re: ASA 5500-X, deszyfracja ssl, cięcie ruchu
Hej,
jak Gizmo napisal, nie jest to polecane ze wzgledu na brak wsparcia sprzetowego dla deszyfracji SSL w tych platformach. Funkcja HW SSL acceleration obecna jest tylko na FP serii 4100 i 9300, co wynika z architektury sprzetowej tych pudelek.
Pozdruffka!
jak Gizmo napisal, nie jest to polecane ze wzgledu na brak wsparcia sprzetowego dla deszyfracji SSL w tych platformach. Funkcja HW SSL acceleration obecna jest tylko na FP serii 4100 i 9300, co wynika z architektury sprzetowej tych pudelek.
Pozdruffka!