Cisco Cisco Firepower Management Center 2000 Dépliant

5.3 版本

Sourcefire 3D 系统安装指南

了解部署

部署选项

第

2 章

使用基于策略的

NAT 进行部署

许可证：控制
支持的设备：任意

可以使用

基于策略的网络地址转换

(NAT) 来定义指定要如何执行 NAT 的策略。策

略可以针对一个接口、一台或多台设备或者整个网络。

可以配置静态（一对一）或动态（一对多）转换。请注意，动态转换取决于顺
序，其中规则是按照顺序搜索的，直至应用第一个匹配规则。

基于策略的

NAT 通常用于以下部署：

•

隐藏专用网络地址。

从专用网络访问公共网络时，

NAT 会将专用网络地址转换为公共网络地址。

具体专用网络地址对公共网络是隐藏的。

•

允许访问专用网络服务。

公共网络访问专用网络时，

NAT 会将公共地址转换为专用网络地址。公共网

络可以访问特定专用网络地址。

•

重定向多个专用网络之间的流量。

专用网络上的服务器访问连接的专用网络上的服务器时，

NAT 会转换两个专

用网络之间的专用地址，以确保专用地址中没有重复且流量可以在这些地址
之间传输。

使用基于策略的

NAT 使得无需使用额外硬件的需求，而且可以将入侵检测或防御

系统和

NAT 的配置整合到了一个用户界面中。有关详细信息，请参阅

《

Sourcefire 3D 系统用户指南》中的“使用 NAT 策略”。

使用访问控制进行部署

许可证：任意
支持的设备：任意

访问控制是一项基于策略的功能，可用于指定、检查和记录可以进出网络或在网络
中传输的流量。以下节介绍访问控制如何在部署中发挥作用。有关此功能的详细信
息，请参阅《

Sourcefire 3D 系统用户指南》。

访问控制策略决定系统如何处理网络上的流量。可以将访问控制规则添加到策略
中，就如何处理和记录网络流量进行更精细的控制。

不包括访问控制规则的访问控制策略使用以下默认操作之一来处理流量：

•

阻止所有流量进入网络

•

信任进入网络的所有流量，不会作进一步检查

•

允许所有流量进入网络，并且只使用网络发现策略检查流量

•

允许所有流量进入网络，并且使用入侵策略和网络发现策略检查流量