Cisco Cisco Firepower Management Center 4000 Merkblatt
5.3 版本
Sourcefire 3D 系统安装指南
31
了解部署
将设备连接至网络
第
2 章
使用集线器
以太网集线器是一种确保受管设备能监控网段上所有流量的简单方法。这种类型的
绝大多数集线器都采用专用于此网段主机的
绝大多数集线器都采用专用于此网段主机的
IP 流量并将其广播给连接此集线器的
所有设备。将接口集连接至集线器可监控网段上所有传入和传出流量。使用集线器
无法保证检测引擎能监控更高流量网络上的所有数据包。,因为可能发生数据包冲
突。对于低流量的简单网络,不大可能存在这个问题。在高流量网络中,使用其他
方法可能会有更好的结果。请注意,如果集线器出现故障或断电,网络连接将会断
开。在简单网络中,网络将会断开。
无法保证检测引擎能监控更高流量网络上的所有数据包。,因为可能发生数据包冲
突。对于低流量的简单网络,不大可能存在这个问题。在高流量网络中,使用其他
方法可能会有更好的结果。请注意,如果集线器出现故障或断电,网络连接将会断
开。在简单网络中,网络将会断开。
某些设备作为集线器销售,但实际上其作用和交换机一样,并且不向各端口广播每
个数据包。如果将受管设备连接至集线器后却未能监控所有流量,则可能需要购买
其他集线器或使用带
个数据包。如果将受管设备连接至集线器后却未能监控所有流量,则可能需要购买
其他集线器或使用带
SPAN 端口的交换机。
使用
SPAN 端口
许多网络交换机包含
SPAN 端口,该端口可对来自一个或多个端口的流量生成镜
像文件。将接口集连接至
SPAN 端口,可以监控来自所有端口的合并流量,通常
包括传入和传出流量。如果网络上的适当位置已有包括此功能的交换机,那么,几
乎无需在受管设备以外再花额外成本即可在多个网段部署检测。在高流量网络中,
此解决方案有其局限性。如果
乎无需在受管设备以外再花额外成本即可在多个网段部署检测。在高流量网络中,
此解决方案有其局限性。如果
SPAN 端口可处理 200Mbps,并且三个镜像端口都
可以处理高达
100Mbps 的流量,则 SPAN 端口可能超出限额并丢弃数据包,从而
降低受管设备的有效性。
使用网络分路器
网络分路器用于被动监控流量,而不会中断网络流量或更改网络拓扑。不同带宽都
有现成可用的分路器,可用于分析网段的传入和传出数据包。由于大多数分路器都
只能监控一个网段,因此,如果想要监控交换机八个端口中的两个端口,这个解决
方案就不适用。可以在路由器和交换机之间安装分路器并访问流向交换机的完整
有现成可用的分路器,可用于分析网段的传入和传出数据包。由于大多数分路器都
只能监控一个网段,因此,如果想要监控交换机八个端口中的两个端口,这个解决
方案就不适用。可以在路由器和交换机之间安装分路器并访问流向交换机的完整
IP 数据流。
根据设计,网络分路器将传入和传出流量分为两个不同的数据流,通过两种不同的
电缆进行传输。受管设备提供可将对话两端重新整合的多端口选项,以使解码器、
预处理器和检测引擎能够对整个流量进行评估。
电缆进行传输。受管设备提供可将对话两端重新整合的多端口选项,以使解码器、
预处理器和检测引擎能够对整个流量进行评估。
在铜缆端口接口上进行内联部署布线
如果在网络上部署内联设备并且想要使用设备的旁路功能在设备出现故障时保持网
络连接,必须特别注意连接的布线方式。
络连接,必须特别注意连接的布线方式。
如果利用支持光纤旁路的接口部署设备,除了要确保连接牢固并且电缆没有扭结之
外,没有什么需要注意的特殊布线问题。但是,如果用铜缆端口接口而不是光纤网
络接口部署设备,必须了解所使用设备的型号,因为不同型号的设备要使用不同的
网卡。请注意,某些
外,没有什么需要注意的特殊布线问题。但是,如果用铜缆端口接口而不是光纤网
络接口部署设备,必须了解所使用设备的型号,因为不同型号的设备要使用不同的
网卡。请注意,某些
8000 系列网络模块不支持旁路配置。