Cisco Cisco Firepower Management Center 4000 Merkblatt
2-13
FireSIGHT 系统安装指南
第 2 章 了解部署
部署选项
在防火墙内部
防火墙内部的受管设备监控防火墙允许的入站流量或由于配置错误通过防火墙的流量。常见网段
包括 DMZ、内部网络、核心、移动访问和远程网络。
包括 DMZ、内部网络、核心、移动访问和远程网络。
下图说明了通过 FireSIGHT 系统的流量,并提供了一些关于对该流量执行的检测类型的详细信
息。请注意,系统不检查通过快速路径传输或列入黑名单的流量。对于访问控制规则或默认操作
处理的流量,流量和检查取决于规则操作。虽然为了简洁起见在图上未显示规则操作,但是系统
不会对受信任或受阻止的流量执行任何类型的检查。此外,默认操作也不支持文件检查。
息。请注意,系统不检查通过快速路径传输或列入黑名单的流量。对于访问控制规则或默认操作
处理的流量,流量和检查取决于规则操作。虽然为了简洁起见在图上未显示规则操作,但是系统
不会对受信任或受阻止的流量执行任何类型的检查。此外,默认操作也不支持文件检查。
首先按照任何快速路径规则检查传入数据包。如果匹配,流量通过快速路径传输。如果没有匹配
项,基于安全情报的过滤功能将确定是否将此数据包列入黑名单。否则,将应用所有访问控制规
则。如果数据包符合规则中的条件,流量和检查取决于规则操作。如果没有规则与数据包匹配,
流量和检查取决于默认策略操作。(监控规则属于例外,它允许持续评估流量。)每个访问控制
策略的默认操作管理未通过快速路径传输或未列入黑名单的流量,或与非监控规则匹配的流量。
注意快速路径仅适用于 8000 系列和 3D9900 设备。
项,基于安全情报的过滤功能将确定是否将此数据包列入黑名单。否则,将应用所有访问控制规
则。如果数据包符合规则中的条件,流量和检查取决于规则操作。如果没有规则与数据包匹配,
流量和检查取决于默认策略操作。(监控规则属于例外,它允许持续评估流量。)每个访问控制
策略的默认操作管理未通过快速路径传输或未列入黑名单的流量,或与非监控规则匹配的流量。
注意快速路径仅适用于 8000 系列和 3D9900 设备。
可以创建访问控制规则,就如何处理和记录网络流量提供更细化的控制。对于每个规则,请指定
应用于满足特定条件的流量的操作 (信任、监控、阻止或检查)。
应用于满足特定条件的流量的操作 (信任、监控、阻止或检查)。
在 DMZ 上
DMZ 包含面向外部的服务器 (例如网络、 FTP、 DNS 和邮件),并可为内部网络上的用户提供
邮件转发和网络代理等服务。
邮件转发和网络代理等服务。
DMZ 中存储的内容是静态的,变更的计划和执行都会有明确的沟通和事先通知。本网段上的攻击
通常是入站攻击,并且会立即变得透明,因为在 DMZ 中服务器上只允许执行事先计划好的变更。
此网段的有效控制访问策略能够严密控制对服务的访问,并搜索是否存在任何新的网络事件。
通常是入站攻击,并且会立即变得透明,因为在 DMZ 中服务器上只允许执行事先计划好的变更。
此网段的有效控制访问策略能够严密控制对服务的访问,并搜索是否存在任何新的网络事件。
DMZ 中的服务器可以包含 DMZ 能够通过网络查询的数据库。像 DMZ 一样,不应出现意外的变
更,但是,数据库内容比网站或其他 DMZ 服务更加敏感,需要更好的保护。强大的入侵策略加
上 DMZ 访问控制策略是一种行之有效的方法。
更,但是,数据库内容比网站或其他 DMZ 服务更加敏感,需要更好的保护。强大的入侵策略加
上 DMZ 访问控制策略是一种行之有效的方法。
此网段上部署的受管设备可以检测来自 DMZ 中受威胁的服务器的针对互联网的攻击。使用网络
发现监控网络流量有助于监控这些受威胁的服务器是否出现了可能表示 DMZ 中服务器受到了攻
击的变化 (例如,突然出现意外的服务)。
发现监控网络流量有助于监控这些受威胁的服务器是否出现了可能表示 DMZ 中服务器受到了攻
击的变化 (例如,突然出现意外的服务)。