Cisco Cisco Firepower Management Center 2000 Merkblatt

5.3 版本

Sourcefire 3D 系统安装指南

了解部署

部署选项

第

2 章

在本示例中，计算机

A 和计算机 B 位于同一个网络中，并且使用受管设备上配置

的第

2 层虚拟交换机进行通信（用蓝色线和绿色线表示）。受管设备上配置的虚

拟路由器提供对防火墙的第

3 层访问。混合接口整合了虚拟交换机和虚拟路由器

的第

2 层和第 3 层功能，允许流量从每台计算机通过混合接口传输至防火墙（用

红色线和橙色线表示）。

有关详细信息，请参阅《

Sourcefire 3D 系统用户指南》中的“设置混合接口”。

部署网关

VPN

许可证：

VPN

支持的设备：

3 系列

可以创建

网关虚拟专用网络（网关

VPN）连接，以在本地网关和远程网关之间建

立安全隧道。网关之间的安全隧道可保护网关之间的通信。

可以配置

Sourcefire 3D 系统，使它可使用互联网协议安全 (IPSec) 协议族构在

Sourcefire 受管设备的虚拟路由器与远程设备或其他第三方 VPN 终端之间构建安
全

VPN 隧道。建立 VPN 连接后，本地网关后面的主机可以通过 VPN 安全隧道连

接至远程网关后面的主机。

VPN 终端利用互联网密钥交换 (IKE) V1 或 V2 协议相互

进行身份验证，从而为隧道创建安全关联。系统在

IPSec 身份验证报头 (AH) 模式

或

IPSec 封装安全负载 (ESP) 模式下运行。AH 和 ESP 都提供身份验证，ESP 还提

供加密。

网关

VPN 可以用于点对点部署、星型部署或网状网部署：

•

点对点部署以直接一对一关系相互连接两个终端。两个终端配置为对等设
备，因此，其中任一设备都可启动安全连接。至少一台设备必须是支持

VPN

的受管设备。

如果远程位置上的主机使用公共网络连接网络中的主机，可使用点对点部署
保持网络安全性。

•

星型部署在集线器和多个远程终端（叶节点）之间建立安全连接。集线器节
点和各个叶节点之间的每个连接都是一个单独的

VPN 隧道。通常，集线器节

点是位于总部的支持

VPN 的受管设备。叶节点位于分支机构，负责发起大部

分流量。

可使用星型部署在互联网或其他第三方网络上利用安全连接来连接组织的总
部与分支机构，从而为所有员工提供对组织网络的受控访问。

•

网状网部署通过

VPN 隧道将所有终端连接在一起。这可提供冗余，以便当某

个终端出现故障时，其余终端仍然能够相互通信。

可使用网状网部署连接一组分散的分支机构，以确保即使一个或多个

VPN 隧

道出现故障，流量仍然可以传输。此配置中部署的支持

VPN 的受管设备数量

决定冗余级别。

有关网关

VPN 配置和部署的详细信息，请参阅《Sourcefire 3D 系统用户指南》

中的“网关

VPN”。