Cisco Cisco Firepower Management Center 2000 User Guide
3-34
FireSIGHT 系统用户指南
第 3 章 管理可重用对象
使用安全区域
使用安全区域
许可证:任何环境
安全区域由一个或多个内联接口、被动接口、交换接口、路由接口或 ASA 接口组成,可在各种
策略和配置中用于管理和分类流量。一个区域中的接口可以跨多个设备;也可以在一个设备上配
置多个区域。这使得您能够将网络划分为可以应用各种策略的网段。必须将至少一个接口分配到
安全区域,以根据该安全区域匹配流量,每个接口只能属于一个区域。
策略和配置中用于管理和分类流量。一个区域中的接口可以跨多个设备;也可以在一个设备上配
置多个区域。这使得您能够将网络划分为可以应用各种策略的网段。必须将至少一个接口分配到
安全区域,以根据该安全区域匹配流量,每个接口只能属于一个区域。
除了使用安全区域来对接口分组,还可以在系统网络界面中的不同位置(包括访问控制策略、网络
发现规则和事件搜索)使用区域。例如,可编写仅适用于特定源或目标区域的访问控制规则,或者
限制网络发现仅针对发往或来自特定区域的流量。
发现规则和事件搜索)使用区域。例如,可编写仅适用于特定源或目标区域的访问控制规则,或者
限制网络发现仅针对发往或来自特定区域的流量。
更新安全区域对象时,系统会保存对象的新版本。因此,如果同一安全区域中的受管设备具有不
同版本的安全区域对象,您可能会记录似乎是重复的连接。如果发现重复连接报告,可以将所有
受管设备更新为使用该对象的同一版本。在对象管理器中,可以编辑安全区域,移除所有受管设
备,保存对象,重新添加受管设备,以及再次保存对象。然后,重新应用所有受影响的设备策
略。有关应用设备策略的详细信息,请参阅
同版本的安全区域对象,您可能会记录似乎是重复的连接。如果发现重复连接报告,可以将所有
受管设备更新为使用该对象的同一版本。在对象管理器中,可以编辑安全区域,移除所有受管设
备,保存对象,重新添加受管设备,以及再次保存对象。然后,重新应用所有受影响的设备策
略。有关应用设备策略的详细信息,请参阅
可通过以下其中一种方式创建安全区域:
•
系统在设备注册时基于您在设备初始配置时为其选择的检测模式创建安全区域。例如,系统
在被动部署中创建被动区域,在内联部署中则创建外部区域和内部区域。
在被动部署中创建被动区域,在内联部署中则创建外部区域和内部区域。
•
可在配置受管设备上的接口时快速创建安全区域。
•
可以使用对象管理器 (
Objects > Object Management
) 创建安全区域。
对象管理器的 Security Zones 页面列出在受管设备上配置的区域。该页面还显示每个区域中的接
口类型,您可以展开每个区域查看哪个设备上的哪个接口属于该区域。
口类型,您可以展开每个区域查看哪个设备上的哪个接口属于该区域。
注
安全区域中的所有接口都必须相同,也就是说,所有接口均为内联接口、被动接口、交换接口、
路由接口或 ASA 接口。此外,创建安全区域后,不能更改其包含的接口类型。
路由接口或 ASA 接口。此外,创建安全区域后,不能更改其包含的接口类型。
如果修改 ASA 安全情景,在单情景模式与多情景模式之间切换,系统将从您的安全区域配置中
移除所有接口。
移除所有接口。
不能删除正在使用的安全区域。从区域添加或移除接口后,必须对接口所在的设备重新应用设备
配置。还必须重新应用使用该区域的访问控制策略和网络发现策略。
配置。还必须重新应用使用该区域的访问控制策略和网络发现策略。
要添加安全区域,请执行以下操作:
访问:管理员/访问管理员/网络管理员
步骤 1
选择
Objects > Object Management
。
系统将显示 Object Management 页面。
步骤 2
选择
Security Zones
。
步骤 3
点击
Add Security Zone
。
系统将显示 Security Zones 弹出窗口。
步骤 4
在
Name
字段中为区域键入名称。可以使用除大括号 (
{}
)、管道 (
|
)、分号 (
;
) 或井号 (
#
) 之外的任
何可打印的标准 ASCII 字符。
步骤 5
从
Type
选择区域的接口类型。
创建安全区域后,不能更改其类型。