Cisco Cisco Firepower Management Center 4000 Prospecto
2-12
FireSIGHT 系统安装指南
第 2 章 了解部署
部署选项
当专用网络上的服务器访问与其连接的专用网络上的服务器时, NAT 转换两个专用网络之间
的专用地址,确保专用地址中没有重复而且流量可以在它们之间传输。
的专用地址,确保专用地址中没有重复而且流量可以在它们之间传输。
使用基于策略的 NAT 免除了对额外硬件的需求并且将入侵检测或防御系统和 NAT 的配置整合到
了一个统一的用户界面中。有关详细信息,请参阅 《FireSIGHT 系统用户指南》中的“使用 NAT
策略”。
了一个统一的用户界面中。有关详细信息,请参阅 《FireSIGHT 系统用户指南》中的“使用 NAT
策略”。
使用访问控制进行部署
许可证:
任意
支持的设备:
任意
访问控制是一项基于策略的功能,可用于指定、检查和记录可以进入、退出网络或在网络内传输
的流量。下一节介绍访问控制如何在部署中发挥作用。有关此功能的详细信息,请参阅
的流量。下一节介绍访问控制如何在部署中发挥作用。有关此功能的详细信息,请参阅
《FireSIGHT 系统用户指南》。
访问控制策略决定了系统如何处理网络上的流量。可以将访问控制规则添加到策略中,就如何处
理和记录网络流量提供更细化的控制。
理和记录网络流量提供更细化的控制。
不包括访问控制规则的访问控制策略使用以下默认操作之一来处理流量:
•
阻止所有流量进入网络
•
信任进入网络的所有流量,无需进一步检查
•
允许所有流量进入网络,并且仅仅使用网络发现策略检查流量
•
允许所有流量进入网络,并且通过入侵和网络发现策略检查流量
访问控制规则进一步定义目标设备如何处理流量,从简单的 IP 地址匹配到涉及不同用户、应用、
端口和 URL 的复杂方案。对于每个规则,都要指定规则操作,即是否根据入侵或文件策略信任、
监控、阻止或者检查匹配的流量。
端口和 URL 的复杂方案。对于每个规则,都要指定规则操作,即是否根据入侵或文件策略信任、
监控、阻止或者检查匹配的流量。
访问控制可以根据安全情报数据过滤流量,此功能允许根据源 IP 地址或目标 IP 地址指定可以按
照访问控制策略流经网络的流量。此功能可以创建关于不允许的 IP 地址的黑名单,系统会阻止并
且不检查这些地址的流量。
照访问控制策略流经网络的流量。此功能可以创建关于不允许的 IP 地址的黑名单,系统会阻止并
且不检查这些地址的流量。
此部署示例说明了常见的网段。在这些位置中的每一处部署受管设备具有不同的作用。以下各节
将提供典型的位置建议:
将提供典型的位置建议:
•
•
说明 DMZ 中的访问控制如何保护面向外部的服务器。
•
•
•
说明访问控制如何监控和保护网络免受远程位置或移动设备
上的流量影响。