Cisco Cisco Firepower Management Center 2000 Merkblatt
2-23
FireSIGHT 系统安装指南
第 2 章 了解部署
复杂的网络部署
与负载平衡方法集成
在有些网络环境中,服务器场配置用于为网络托管、 FTP 存储站点等服务执行网络负载平衡。在
负载平衡环境中, IP 地址在具有同一操作系统的两个或更多主机之间共享。在这种情况下,系统
检测操作系统的变更,无法提供高置信度的静态操作系统标识。根据受影响主机上不同操作系统
的数量,系统可能会生成大量操作系统变更事件或以较低的置信度显示静态操作系统标识。
负载平衡环境中, IP 地址在具有同一操作系统的两个或更多主机之间共享。在这种情况下,系统
检测操作系统的变更,无法提供高置信度的静态操作系统标识。根据受影响主机上不同操作系统
的数量,系统可能会生成大量操作系统变更事件或以较低的置信度显示静态操作系统标识。
其他检测注意事项
如果正在识别的主机 TCP/IP 堆栈已经更改,系统可能无法正确识别此主机操作系统。在某些情
况下,这样做是为了提高性能。例如,鼓励运行 Internet 信息服务 (IIS) 网络服务器的 Windows 主
机的管理员增大 TCP 窗口,允许接收更大的数据量,从而提高性能。在其他情况下,可通过
TCP/IP 堆栈更改模糊真正的操作系统,阻止准确识别和避免有针对性的攻击。这么做旨在解决这
样一种可能的情况,即攻击者对网络执行侦察扫描,识别使用特定操作系统的主机,然后利用针
对该操作系统的漏洞进行有针对性的攻击。
况下,这样做是为了提高性能。例如,鼓励运行 Internet 信息服务 (IIS) 网络服务器的 Windows 主
机的管理员增大 TCP 窗口,允许接收更大的数据量,从而提高性能。在其他情况下,可通过
TCP/IP 堆栈更改模糊真正的操作系统,阻止准确识别和避免有针对性的攻击。这么做旨在解决这
样一种可能的情况,即攻击者对网络执行侦察扫描,识别使用特定操作系统的主机,然后利用针
对该操作系统的漏洞进行有针对性的攻击。