Cisco Cisco Firepower Management Center 4000 User Guide
5-7
FireSIGHT 系统用户指南
第 5 章 设置 IPS 设备
配置内联集
配置高级内联集选项
许可证:保护
受支持的设备:因功能而异
在配置内联集时可以考虑使用多个选项。有关各个选项的详细信息,请参阅以下各节。
分路模式
受支持的设备:3 系列、3D9900
当您创建一个内联或带有失效开放接口集的内联时,分路模式在 3D9900 和 3 系列设备上可用。
在分路模式下,设备部署内联,但是包级流不通过设备,而是每个数据包副本发送到设备,并且
网络流量不会受到干扰。由于您使用的是数据包副本而不是数据包本身,设置为丢弃的规则和使
用替换关键字的规则不会影响包数据流。但是,这些类型的规则在触发时会生成入侵事件,而且
入侵事件表视图显示了触发数据包会在内联部署中被丢弃。
网络流量不会受到干扰。由于您使用的是数据包副本而不是数据包本身,设置为丢弃的规则和使
用替换关键字的规则不会影响包数据流。但是,这些类型的规则在触发时会生成入侵事件,而且
入侵事件表视图显示了触发数据包会在内联部署中被丢弃。
在已部署内联的设备上使用分路模式有很多优点。例如,您可以设置设备和网络之间的布线,就
像设备是内联,并分析设备生成的多种入侵事件。根据结果,您可以修改入侵策略,并添加最好
地保护您的网络却不影响有效性的丢弃规则。准备部署设备内联时,您可以禁用分路模式,并开
始丢弃可疑流量,而无需重新配置设备和网络之间的走线。
像设备是内联,并分析设备生成的多种入侵事件。根据结果,您可以修改入侵策略,并添加最好
地保护您的网络却不影响有效性的丢弃规则。准备部署设备内联时,您可以禁用分路模式,并开
始丢弃可疑流量,而无需重新配置设备和网络之间的走线。
请注意,您不能在同一内联集中启用此选项和严格 TCP 执行选项。
传播链路状态
受支持的设备:2 系列、 3 系列
链路状态传播是旁路模式下配置的内联集的一个特性,因两对内联集都要设置跟踪状态。链路状
态传播适用于铜和光纤可配置旁路接口。
态传播适用于铜和光纤可配置旁路接口。
在内联集的一个接口断开时,链路状态传播自动关闭内联接口对的第二个接口。当被关闭的接口
恢复运行时,备用接口也自动恢复运行。换句话说,如果一个接口的链路状态更改,设备感知该
更改并更新其他接口的链路状态以与其匹配。请注意,设备需要至多 4 秒传播链路状态更改。
恢复运行时,备用接口也自动恢复运行。换句话说,如果一个接口的链路状态更改,设备感知该
更改并更新其他接口的链路状态以与其匹配。请注意,设备需要至多 4 秒传播链路状态更改。
注
触发链路状态传播时,2 系列设备(3D9900 上的除外)上配置为失效开放的光纤内联集激活硬件
旁路模式。在这种情况下,相关接口卡不会自动走出旁路;您必须手动导出旁路模式。有关内联集
和硬件旁路的光纤接口的详细信息,请参阅
旁路模式。在这种情况下,相关接口卡不会自动走出旁路;您必须手动导出旁路模式。有关内联集
和硬件旁路的光纤接口的详细信息,请参阅
。
在将路由器配置为在处于故障状态的网络设备上自动重新路由流量的弹性网络环境中,链路状态
传播特别有用。
传播特别有用。
您不能在集群设备配置的内联集上禁用链路状态传播。
请注意,虚拟设备、用于 Blue Coat X-系列的思科 NGIPS和具备 FirePOWER 服务的 Cisco ASA 防
火墙不支持链路状态传播。
火墙不支持链路状态传播。
透明内联模式
Transparent Inline Mode 选项允许设备作为“线内凸点”,这意味着不管是源地址还是目的地址,
设备都将转发其看见的所有网络流量。请注意,您不能在3 系列 或 3D9900 设备上禁用此选项。
设备都将转发其看见的所有网络流量。请注意,您不能在3 系列 或 3D9900 设备上禁用此选项。