Cisco Cisco Firepower Management Center 2000 User Guide

5-8

FireSIGHT 系统用户指南

第 5 章      设置 IPS 设备         

  配置内联集

严格 TCP 执行

受支持的设备：3 系列

为最大程度地提高 TCP 的安全性，可以启用严格执行，以阻断三次握手尚未完成的连接。严格执
行功能也阻止：

三次握手尚未完成的连接的非 SYN TCP 数据包

TCP 连接上由发起方发出的、响应方尚未发送 SYN-ACK 数据包的非 SYN/RST 数据包

TCP 连接上由响应方在 SYN 数据包之后、但在会话建立前发出的非 SYN-ACK/RST 数据包

来自发起方或响应方的已建立 TCP 连接上的 SYN 数据包

请注意， 2 系列、虚拟设备和 用于 Blue Coat X-系列的思科 NGIPS不支持此选项。此外，您不能
在同一内联集中启用此选项和分路模式。

要配置高级内联集选项，请执行以下操作：

访问：管理员/网络管理员

步骤 1

选择 

。

系统将显示 Device Management 页面。

步骤 2

点击要编辑内联集的设备旁的编辑图标  ( )。

系统将显示 

 选项卡。

步骤 3

点击 

。

系统将显示 

 选项卡。

步骤 4

点击要编辑的内联集旁的编辑图标  ( )。

系统将显示 Edit Inline Set 弹出窗口。

步骤 5

点击 

。

系统将显示 

 选项卡。

步骤 6

或者，选择 

 在 3 系列和 3D9900 设备的内联接口启用分路模式。

请注意，除了 3D9900 外的虚拟设备、用于 Blue Coat X-系列的思科 NGIPS和2 系列 不支持该选
项。此外，您不能在同一内联集中启用分路模式和严格的 TCP 实施。

步骤 7

或者，在 2 系列或 3 系列设备上选择 

。如果网络中的路由器能够在断开的网络

设备上重新路由流量，此选项将特别有用。

您不能在集群设备配置的内联集上禁用链路状态传播。

请注意，虚拟设备和 用于 Blue Coat X-系列的思科 NGIPS不支持此选项。

步骤 8

或者，选择 

 在 3 系列设备上启用严格的 TCP 实施。

请注意， 2 系列、虚拟设备和 用于 Blue Coat X-系列的思科 NGIPS不支持此选项。此外，您不能
在同一内联集中启用严格的 TCP 实施和分路模式。

步骤 9

或者，选择 

。

请注意，您不能在 3 系列或 3D9900 设备上禁用此选项。

步骤 10

点击 

。

已保存您的更改。请注意，应用设备配置后，更改才会生效；有关详细信息，请参阅