Cisco Cisco Firepower Management Center 4000 User Guide
45-16
FireSIGHT 系统用户指南
第 45 章 网络发现简介
了解 NetFlow
当系统处理 NetFlow 记录时,它会根据各主机正在使用的端口以及此类端口是否为公认端口来使
用一种算法确定该信息:
用一种算法确定该信息:
•
如果使用的两个端口都不是公认端口,系统会将端口号较小的那个主机视为响应方。
•
如果只有一个主机在使用公认端口,系统会将该主机视为响应方。
为此,公认端口是编号为 1 到 1023 的任意端口,或包含受管设备上
/etc/sf/services
中应用协
议信息的端口。
准备分析 NetFlow 数据
许可证:FireSIGHT
在配置 FireSIGHT 系统以分析 NetFlow 数据之前,必须在路由器或要使用的其他支持 NetFlow 的
设备上启用 NetFlow 功能,并将这些设备配置为可将 NetFlow 版本 5 数据导出到连接了受管设备
感应接口的目标网络。
设备上启用 NetFlow 功能,并将这些设备配置为可将 NetFlow 版本 5 数据导出到连接了受管设备
感应接口的目标网络。
请注意,系统可以分析 NetFlow 版本 5 和 NetFlow 版本 9 的记录。如果要将支持 NetFlow 的设备
与 FireSIGHT 系统部署配合使用,这些设备必须使用这些版本之一。此外,系统要求特定字段必
须位于支持 NetFlow 的设备广播的模板和记录中。如果支持 NetFlow 的设备使用版本 9 (可自定
义),必须确保这些设备广播的模板和记录包含以下字段 (可以是任意顺序):
与 FireSIGHT 系统部署配合使用,这些设备必须使用这些版本之一。此外,系统要求特定字段必
须位于支持 NetFlow 的设备广播的模板和记录中。如果支持 NetFlow 的设备使用版本 9 (可自定
义),必须确保这些设备广播的模板和记录包含以下字段 (可以是任意顺序):
•
IN_BYTES (1)
•
IN_PKTS (2)
•
PROTOCOL (4)
•
TCP_FLAGS (6)
•
L4_SRC_PORT (7)
•
IPV4_SRC_ADDR (8)
•
L4_DST_PORT (11)
•
IPV4_DST_ADDR (12)
•
LAST_SWITCHED (21)
•
FIRST_SWITCHED (22)
•
IPV6_SRC_ADDR (27)
•
IPV6_DST_ADDR (28)
由于 FireSIGHT 系统使用受管设备分析 NetFlow 数据,因此,部署必须至少包括一个可监控支持
NetFlow 的设备的受管设备。受管设备上至少要有一个感应接口必须与网络连接,以便能够从该
网络收集支持 NetFlow 的设备导出的数据。由于受管设备上的感应接口通常不具有 IP 地址,因此
系统不支持直接收集 NetFlow 记录。
NetFlow 的设备的受管设备。受管设备上至少要有一个感应接口必须与网络连接,以便能够从该
网络收集支持 NetFlow 的设备导出的数据。由于受管设备上的感应接口通常不具有 IP 地址,因此
系统不支持直接收集 NetFlow 记录。
此外,思科强烈建议将支持 NetFlow 的设备配置为仅在受监控会话关闭时输出记录。如果将支持
NetFlow 的设备配置为按固定时间间隔输出记录,对 NetFlow 记录派生的连接数据的分析可能会
更为复杂;请参阅
NetFlow 的设备配置为按固定时间间隔输出记录,对 NetFlow 记录派生的连接数据的分析可能会
更为复杂;请参阅
最后,请注意,在某些支持 NetFlow 的设备上可用的采样 NetFlow 功能只会收集流经设备的数据
包子集中的 NetFlow 统计信息。尽管启用此功能可以提高支持 NetFlow 的设备上的 CPU 利用率,
但可能会影响收集以供系统分析的数据。
包子集中的 NetFlow 统计信息。尽管启用此功能可以提高支持 NetFlow 的设备上的 CPU 利用率,
但可能会影响收集以供系统分析的数据。