Cisco Cisco Firepower Management Center 4000 Prospecto
5.3 版本
Sourcefire 3D 系统安装指南
51
了解部署
复杂的网络部署
第
2 章
与代理服务器和
NAT 集成
网络地址转换
(NAT) 设备或软件可以越过防火墙来使用,从而有效地将内部主机的
IP 地址隐藏在防火墙后面。如果受管设备部署在这些设备或软件和受监控的主机
之间,系统可能无法正确识别代理或
之间,系统可能无法正确识别代理或
NAT 设备后面的主机。在这种情况下,
Sourcefire建议将受管设备配置在受代理或 NAT 设备保护的网段内,从而确保主机
接受正确的检测。
接受正确的检测。
与负载平衡方法集成
在一些网络环境中,“服务器场”配置用于为网络托管、
FTP 存储站点等服务执行
网络负载平衡。在负载平衡环境中,
IP 地址在具有同一操作系统的两个或更多主
机之间共享。在这种情况下,系统会检测操作系统的更改,但无法提供高置信度的
静态操作系统识别。根据受影响主机上不同操作系统的数量,系统可能会生成大量
操作系统更改事件或以较低的置信度显示静态操作系统识别。
静态操作系统识别。根据受影响主机上不同操作系统的数量,系统可能会生成大量
操作系统更改事件或以较低的置信度显示静态操作系统识别。
其他检测注意事项
如果更改了正被识别的主机的
TCP/IP 堆栈,系统可能无法正确识别该主机的操作
系统。在某些情况下,进行这种更改是为了提高性能。例如,鼓励运行互联网信息
服务
服务
(IIS) 网络服务器的 Windows 主机的管理员增大 TCP 窗口,以便接收更量数
据,从而提高性能。在其他情况下,可通过
TCP/IP 堆栈更改对真正的操作系统进
行模糊处理,以使其无法被准确识别,从而避免针对性攻击。这样做旨在应对这样
一种可能的情况:攻击者对网络执行侦察扫描,识别使用特定操作系统的主机,然
后利用该操作系统特有的漏洞发起针对性攻击。
一种可能的情况:攻击者对网络执行侦察扫描,识别使用特定操作系统的主机,然
后利用该操作系统特有的漏洞发起针对性攻击。