Cisco Cisco Firepower Management Center 4000 Merkblatt
2-11
FireSIGHT 系统安装指南
第 2 章 了解部署
部署选项
部署网关 VPN
许可证:
VPN
支持的设备:
3 系列
可以创建
网关虚拟专用网络 (网关 VPN)连接,在本地网关和远程网关之间建立安全隧道。网
关之间的安全隧道可保护它们之间的通信。
使用 Internet 协议安全 (IPSec) 协议集,配置 FireSIGHT 系统,在从思科受管设备的虚拟路由器到
远程设备或其他第三方 VPN 终端之间建立 VPN 安全隧道。建立 VPN 连接后,本地网关后面的主
机可以通过 VPN 安全隧道连接到远程网关后面的主机。VPN 终端利用 Internet 密钥交换 (IKE) V1
或 V2 协议相互验证,为此隧道创建安全关联。系统在 IPSec 验证报头 (AH) 模式或 IPSec 封装安
全负载 (ESP) 模式下运行。 AH 和 ESP 都提供验证,而且 ESP 还提供加密。
远程设备或其他第三方 VPN 终端之间建立 VPN 安全隧道。建立 VPN 连接后,本地网关后面的主
机可以通过 VPN 安全隧道连接到远程网关后面的主机。VPN 终端利用 Internet 密钥交换 (IKE) V1
或 V2 协议相互验证,为此隧道创建安全关联。系统在 IPSec 验证报头 (AH) 模式或 IPSec 封装安
全负载 (ESP) 模式下运行。 AH 和 ESP 都提供验证,而且 ESP 还提供加密。
网关 VPN 可以用于点对点、星型或网状部署︰
•
点对点部署以直接一对一关系相互连接两个终端。两个终端配置为对等设备,因此其中任一
设备都可启动安全连接。至少一台设备必须是启用 VPN 的受管设备。
设备都可启动安全连接。至少一台设备必须是启用 VPN 的受管设备。
远程主机使用公用网络连接网络中的主机时,可使用点对点部署保持网络安全性。
•
星型部署在集线器和多个远程终端 (叶节点)之间建立安全连接。集线器节点和各个叶节点
之间的每个连接都是一个单独的 VPN 隧道。通常,集线器节点是一台启用 VPN 的受管设备,
位于总部。叶节点位于分支机构并发起大部分流量。
之间的每个连接都是一个单独的 VPN 隧道。通常,集线器节点是一台启用 VPN 的受管设备,
位于总部。叶节点位于分支机构并发起大部分流量。
使用星型部署在互联网或其他第三方网络上利用安全连接来连接组织的总部和分支机构,为
所有员工提供对组织网络的受控访问。
所有员工提供对组织网络的受控访问。
•
网状部署通过 VPN 隧道将所有终端连接在一起。这种部署方式可提供冗余,在某个终端出现
故障时,其他终端仍然能够相互通信。
故障时,其他终端仍然能够相互通信。
使用网状部署连接一组分散的分支机构,确保即使一个或多个 VPN 隧道出现故障,流量仍然
可以传输。此配置中部署的启用 VPN 的受管设备的数量决定了冗余级别。
可以传输。此配置中部署的启用 VPN 的受管设备的数量决定了冗余级别。
有关网关 VPN 配置和部署的详细信息,请参阅 《FireSIGHT 系统用户指南》中的“网关 VPN”。
使用基于策略的 NAT 进行部署
许可证:
控制
支持的设备:
全部, ASA FirePOWER 除外
可以使用
基于策略的网络地址转换 (NAT) 定义指定想要如何执行 NAT 的策略。策略可以针对单
个接口、一个或多个设备或整个网络。
可以配置静态 (一对一)或动态 (一对多)转换。请注意,动态转换取决于顺序,其中规则是
按照顺序搜索的,直到应用第一条匹配规则。
按照顺序搜索的,直到应用第一条匹配规则。
基于策略的 NAT 通常用于以下部署:
•
隐藏专用网络地址。
从专用网络访问公用网络时, NAT 将专用网络地址转换为公用网络地址。具体专用网络地址
对公用网络是隐藏的。
对公用网络是隐藏的。
•
允许访问专用网络服务。
公用网络访问专用网络时, NAT 将公用地址转换为专用网络地址。公用网络可以访问特定专
用网络地址。
用网络地址。
•
重定向多个专用网络之间的流量。