Cisco Cisco Firepower Management Center 4000 Prospecto
4-9
FireSIGHT 系统安装指南
第 4 章 设置 FireSIGHT 系统设备
初始设置页面:设备
您还可以为
管理员
帐户指定本地网络界面上使用的时区。点击当前时区,然后通过弹出窗口进行
更改。
检测模式
您为设备选择的检测模式决定了系统对设备接口的初始配置方式,及这些接口是否属于内联集或
安全区。
安全区。
设置之后则不可更改检测模式;检测模式仅为一个在设置期间选择的选项,用于帮助系统定制设
备的初始配置。一般来说,您应该根据设备的部署方式来选择检测模式:
备的初始配置。一般来说,您应该根据设备的部署方式来选择检测模式:
被动
如果设备以被动方式被部署为一个入侵检测系统 (IDS),则选择该模式。在被动部署中,您可
以进行文件和恶意软件检测、安全情报监控,以及网络发现。
以进行文件和恶意软件检测、安全情报监控,以及网络发现。
内联
如果设备以内联方式被部署为一个入侵防御系统,则选择该模式。入侵防御系统通常不允许
打开,并且会允许不匹配的流量。
打开,并且会允许不匹配的流量。
在内联部署中,您可以执行基于网络的高级恶意软件防护 (AMP)、文件控制、安全情报过滤
和网络发现。
和网络发现。
虽然可以为所有设备选择内联模式,但请记住,使用以下接口的内联集不支持旁路功能:
•
8000 系列设备上的非旁路网络模块
•
71xx 子系列设备上的 SFP 收发器
注
重新映像会将内联部署中的设备重置为非旁路配置;这将中断网络上的流量,直到您重新配置了
旁路模式。有关详细信息,请参阅
旁路模式。有关详细信息,请参阅
访问控制
如果设备以内联方式部署为访问控制部署的一部分,即如果想要执行应用、用户和 URL 控
制,则选择该模式。配置为执行访问控制的设备通常会不允许
制,则选择该模式。配置为执行访问控制的设备通常会不允许
关闭,并且会阻止不匹配的流
量。规则明确指定了可以通过的流量。
如果您希望利用设备特定的基于硬件的功能,包括 (依型号而定):集群、严格的 TCP 执
行、快速路径规则、交换、路由、 DHCP、 NAT 和 VPN,则应该选择该模式。
行、快速路径规则、交换、路由、 DHCP、 NAT 和 VPN,则应该选择该模式。
在访问控制部署中,您也可以执行恶意软件防护、文件控制、安全情报过滤和网络发现。
网络发现
如果设备被动方式部署为仅用于执行主机、应用和用户发现,则选择该模式。
下表列出了系统根据所选择的检测模式创建的接口、内联集和区域。
表
4-1
基于检测模式的初始配置
检测模式
安全区域
内联集
接口
内联
内部和外部
默认内联集
添加至默认内联集的第一对接口,一个
添加至内部区域,一个添加至外部区域
添加至内部区域,一个添加至外部区域
被动
被动
无
分配至被动区域的第一对接口