Cisco Cisco Firepower Management Center 4000 User Guide
E-1
FireSIGHT 系统用户指南
附 录
E
安全、互联网接入和通信端口
为了保护防御中心,应将其安装在受保护的内部网络中。虽然防御中心已配置为仅拥有必需的服
务和可用端口,但必须确保无法从防火墙外部攻击它 (或任何受管设备)。
务和可用端口,但必须确保无法从防火墙外部攻击它 (或任何受管设备)。
如果防御中心及其受管设备位于同一个网络,则可将这些设备上管理接口连接至与防御中心相同
的受保护内部网络。这样,就可以安全地从防御中心控制设备。您还可以配置多个管理接口,使
防御中心能够管理和隔离来自其他网络上设备的流量。
的受保护内部网络。这样,就可以安全地从防御中心控制设备。您还可以配置多个管理接口,使
防御中心能够管理和隔离来自其他网络上设备的流量。
无论如何部署设备,内部设备通信将始终加密。但是,必须采取措施确保无法中断、阻塞或篡改
FireSIGHT 系统设备之间的通信;例如,使用分布式拒绝服务 (DDoS) 或中间人攻击。
FireSIGHT 系统设备之间的通信;例如,使用分布式拒绝服务 (DDoS) 或中间人攻击。
另请注意, FireSIGHT 系统的特定功能需要连接互联网。默认情况下,所有FireSIGHT 系统设备
均配置为直接连接至互联网。此外,系统还要求某些端口对基本内部设备通信保持开放以实现安
全的设备访问,以便特定系统功能访问其正常运行所需的本地或互联网资源。
均配置为直接连接至互联网。此外,系统还要求某些端口对基本内部设备通信保持开放以实现安
全的设备访问,以便特定系统功能访问其正常运行所需的本地或互联网资源。
提示
除 用于 Blue Coat X-系列的思科 NGIPS之外, FireSIGHT 系统设备支持使用代理服务器。有关详
细信息,请参阅
细信息,请参阅
和
。
有关详情,请参阅:
•
•
互联网访问要求
默认情况下, FireSIGHT 系统设备会配置为直接连接至互联网的 443/tcp (HTTPS) 和 80/tcp
(HTTP) 端口,这些端口在所有 FireSIGHT 系统设备上均默认打开;请参阅
(HTTP) 端口,这些端口在所有 FireSIGHT 系统设备上均默认打开;请参阅
。请注意,大多数 FireSIGHT 系统设备均支持使用代理服务器;请参阅
。还请注意,代理服务器不能用于 whois 访问。
为确保运营持续性,高可用性对中的两个防御中心均必须接入互联网。为实现特定功能,主防御
中心将访问互联网,然后在同步过程中与辅助防御中心共享信息。因此,如果主防御中心发生故
障,则应该将辅助防御中心升级为主用设备,如
中心将访问互联网,然后在同步过程中与辅助防御中心共享信息。因此,如果主防御中心发生故
障,则应该将辅助防御中心升级为主用设备,如
中所述。