3D系统
虚拟安装指南
5.3版本
法律声明
思科、思科徽标、Sourcefire、Sourcefire徽标、Snort、Snort和Pig徽标以及某些其他商标和徽标都是思科和/或其附属公司在美国以及其他国家/地区的商标或注册商标。
要查看思科商标的列表,请访问以下URL:/go/trademarks。
文中提及的第三方商标均归属各所有者。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
法律声明、免责声明、使用条款和本文档中包含的其他信息(“条款”)仅适用于本文档(“文档”)所述的信息以及使用方式。
这些条款不适用于或不管理由思科或其子公司(统称“思科”)控制的网站或者任何Sourcefire提供或思科提供的产品的使用。
Sourcefire和思科产品可供购买,并受包含有很多不同条款和条件的独立许可协议和/或使用条款的约束。
文档版权归思科所有,受美国和其他国家/地区版权法和其他知识产权法的保护。
您可以仅出于非商业用途使用、打印、在检索系统上保存以及通过其他方式复制和分发此文档,只要您(i)不以任何方式修改文档,(ii)始终包括思科的版权、商标和其他专有权声明,以及链接到或打印本页的所有内容和条款。
事先未经思科明确的书面许可,不得将本文档任何部分用于编译或以其他方式合并到其他作品,或者用于或并入任何其他文档或用户手册,或者用于创建衍生品。
思科保留随时更改这些条款的权利,继续使用本文档视为接受这些条款。
©2004-2014思科和/或其附属公司。
版权所有。
免责声明 文档和文档中的任何可用信息可能包括不精确之处或排版错误。
思科可能随时更改本文档。
对于思科控制的任何网站、文档和/或任何产品信息的准确性或适用性,思科不做任何表示或保证。
思科控制的网站、文档和所有产品信息都“按原样”提供,并且思科不承担任何及所有明示和暗示的保证,包括但不限于权利保证以及适销性和/或特定用途适用性的暗示保证。
对于思科控制的网站或文档所引起或以任何与思科控制的网站或文档相关的方式产生的直接、间接、偶然、特殊、惩戒性、惩罚性或必然损害(包括但不限于替代产品或服务的采购、数据丢失、利润损失和/或业务中断),无论是何种原因引起和/或是否基于合同、严格责任、疏忽或其他侵权行为或者任何其他责任理论,思科在任何情况下概不负责,即使思科已被告知存在此类损害的可能性也一样。
由于某些州/司法管辖区不允许排除或限制必然或偶然损害责任,因此上述限制可能不适用。
2015年2月17日13:59 目录 第1章:第2章: 5.3版本 虚拟设备简介.............................................................................6 Sourcefire3D系统虚拟设备.................................................................................7虚拟防御中心
7 了解虚拟设备功能
9 许可Sourcefire虚拟设备....................................................................................10 后续操作
3 第3章:第4章: 第5章: 5.3版本 目录 安全性、互联网接入和通信端口.........................................................................25
4 第6章: 目录 设置虚拟防御中心
5 第1章 虚拟设备简介 Sourcefire3D®系统兼具行业领先的网络入侵防御系统安全性和基于检测到的应用、用户和URL控制网络访问的能力。
Sourcefire封装了适用于VMwareESXi和VMwarevCloudDirector托管环境的64位虚拟防御中心®和虚拟设备。
防御中心为系统提供了一个集中的管理控制台和数据库资源库。
无论是被动部署还是内联部署,虚拟设备均可检查虚拟或物理网络上的流量: •被动部署中的虚拟设备仅监控流经网络的流量。
被动感应接口无条件地接收所有流量,且这些接口上所接收的任何流量都不会被重新传输。
•内联部署中的虚拟设备能够让网络免受可能影响网络上主机的可用性、完整性和保密性的攻击。
可将内联设备部署为一个简单的入侵防御系统。
也可以使用其他方法配置内联设备,以执行访问控制和管理网络流量。
内联接口无条件地接收所有流量,除非部署中的某些配置明确放弃这些流量,否则这些接口上接收的流量都不会被重新传输。
虚拟防御中心可管理物理设备和用于X系列的Sourcefire软件,物理防御中心可以管理虚拟设备。
然而,虚拟设备不支持系统基于硬件的任何系统,虚拟防御中心不支持高可用性,虚拟设备不支持集群、堆栈、交换和路由等。
有关物理Sourcefire设备的详细信息,请参阅《Sourcefire3D系统安装指南》。
本安装指南提供关于部署、安装和设置虚拟Sourcefire设备(设备和防御中心)的相关信息。
同时假定读者熟悉VMware产品(包括vSphere客户端和VMwarevCloudDirector门户网站)的功能和术语定义。
5.3版本 Sourcefire3D系统虚拟安装指南
6 虚拟设备简介Sourcefire3D系统虚拟设备 第1章 以下主题将为您介绍Sourcefire3D系统虚拟设备:•第7页的Sourcefire3D系统虚拟设备•第8页的了解虚拟设备功能•第10页的许可Sourcefire虚拟设备•第12页的后续操作 Sourcefire3D系统虚拟设备 Sourcefire虚拟设备可以是流量感应受管虚拟设备,也可以是管理型虚拟防御中心。
有关详细信息,请参阅以下各节: •第7页的虚拟防御中心•第7页的虚拟受管设备•第8页的了解虚拟设备功能•第8页的操作环境先决条件•第9页的虚拟设备性能 虚拟防御中心 防御中心为Sourcefire3D系统部署提供了一个集中的管理点和事件数据库。
虚拟防御中心汇聚并关联入侵、文件、恶意软件、发现、连接和性能数据。
借助此功能,您可以监控设备相互报告的信息,并评估和控制网络中发生的总体活动。
虚拟防御中心的主要功能包括: •设备、许可证和策略管理•表格、图形和图表中显示的事件和上下文信息•运行状况与性能监控•外部通知和警报•使用关联和补救功能进行实时威胁响应•报告 虚拟受管设备 被动部署的虚拟Sourcefire可帮助您深入了解您的网络流量。
采用内联部署时,您可以使用虚拟设备基于多重标准来影响流量。
虚拟设备可以收集有关公司主机、操作系统、应用、用户、网络和漏洞的详细信息。
通过其他许可的功能,虚拟设备可以根据各种基于网络的标准以及其他标准(包括应用、用户、URL、IP地址信誉和入侵或恶意软件检查结果)来阻止或允许网络流量。
5.3版本 Sourcefire3D系统虚拟安装指南
7 虚拟设备简介了解虚拟设备功能 第1章 虚拟设备没有网络界面。
您必须通过控制台和命令行对虚拟设备进行配置,且必须使用防御中心对其进行管理。
了解虚拟设备功能 虚拟设备具有物理设备的诸多功能:•除了无法创建高可用性虚拟防御中心对之外,虚拟防御中心具有与物理防御中心相同的功能。
借助FireSIGHT许可证,虚拟防御中心可监控50,000个主机和用户。
•虚拟设备具有物理设备的流量和阻止分析能力。
然而,这些设备不能执行交换、路由、VPN和基于硬件、冗余和资源共享的其他功能。
Sourcefire3D系统简介章中的第18页的不同设备型号支持的功能列出了Sourcefire3D系统的主要功能并说明虚拟设备是否支持这些功能(假设您已安装和应用了正确的许可证)。
有关虚拟设备所支持的功能和许可证摘要,请参阅第20页的Sourcefire3D系统组件和第10页的许可Sourcefire虚拟设备。
操作环境先决条件 您可以在以下托管环境中托管64位Sourcefire虚拟设备:•VMwarevSphere虚拟机监控程序5.1•VMwarevSphere虚拟机监控程序5.0 •VMwarevCloudDirector5.1有关创建托管环境的详细信息,请参阅VMwareESXi文档,包括VMwarevCloudDirector和VMwarevCenter。
Sourcefire虚拟设备使用开放虚拟化格式(OVF)封装。
VMware工作站、播放器、服务器和Fusion不识别OVF包装并且不受支持。
此外,Sourcefire虚拟设备被封装成带虚拟硬件第7版本的虚拟机。
用作ESXi主机的计算机必须满足以下要求: •必须具有一个可提供虚拟化支持的64位CPU,并采用英特尔虚拟化技术(VT)或AMDVirtualization™(AMD-V™)技术。
•必须在BIOS设置中启用虚拟化技术•必须具有与英特尔E1000驱动程序(如Pro1000MT双端口服务器适配器或 PRO1000GT台式机适配器)兼容的网络接口,用以托管虚拟设备。
有关详细信息,请参阅VMware网站:。
5.3版本 Sourcefire3D系统虚拟安装指南
8 虚拟设备简介了解虚拟设备功能 第1章 创建的每台虚拟设备要求ESXi主机具有一定量的内存、CPU和硬盘空间。
默认设置是运行系统软件的最低要求,不得降低。
然而,为了提高性能,您可以根据可用的资源来增加虚拟设备的内存和CPU数量。
下表列出了默认的设备设置。
默认虚拟设备设置 设置 默认 设置是否支持调整 内存 4GB 支持,对于一台虚拟设备,您必须分配:•4GB(最低)•5GB,用于使用基于类别和信誉的URL过滤•6GB,用于使用大型动态源来执行安全情报过滤•7GB,用于执行URL过滤和安全情报 虚拟CPU
4 支持,最多可增至8个 硬盘有效容量 40GB(设备) 250GB(防御中心) 不支持 虚拟设备性能 无法准确预测虚拟设备吞吐量和处理能力。
一些因素会在很大程度上影响性能,例如: •ESXi主机内存数量和CPU容量•ESXi主机上运行的虚拟设备总数量•感应接口数量、网络性能和接口速度•为每台虚拟设备分配的资源数量•共用主机的其他虚拟设备的活动水平•应用到虚拟设备的策略复杂度 提示!VMware提供多种性能测量和资源分配工具。
当您运行虚拟设备监控流量和确定吞吐量时,请使用ESXi主机上的这些工具。
如果吞吐量并不理想,调整分配至共用ESXi主机的虚拟设备的资源。
尽管Sourcefire不支持在访客层安装工具(包括VMware工具),但您可以将工具(例如或VMware/第三方插件)安装在ESXi主机上,检查虚拟性能。
然而,您必须将这些工具安装在此主机或虚拟化管理层上,而不是访客层上。
5.3版本 Sourcefire3D系统虚拟安装指南
9 虚拟设备简介许可Sourcefire虚拟设备 第1章 许可Sourcefire虚拟设备 您可以许可各种功能,为贵公司创建最佳的Sourcefire3D系统部署。
必须使用防御中心来控制其自身和所管理设备的许可证。
Sourcefire建议您在防御中心的初始设置过程中添加贵公司已购买的许可证。
否则,初始设置过程中所注册的所有设备均被作为未许可设备被添加至防御中心。
初始设置流程结束后,必须逐个启用每个设备的许可证。
有关详细信息,请参阅第57页的设置虚拟设备。
购买防御中心时随附一个FireSIGHT许可证,执行主机、应用和用户发现时要使用该许可证。
防御中心上的FireSIGHT许可证同时决定了使用防御中心及其受管设备时可以监控的主机和用户数量,以及进行用户控制的用户数量。
对于虚拟防御中心,该限值为50,000个主机和用户。
其他适用于特定型号的许可允许您的受管设备执行以下多种功能: 保护 保护许可证允许虚拟设备设备进行入侵检测和防御、文件控制和安全情报过滤。
控制 控制许可证允许虚拟设备执行用户和应用控制。
尽管虚拟设备不支持控制许可
证向2系列和3系列设备授予的任何基于硬件的功能(如切换或路由),但虚拟防御中心可管理物理设备上的此类功能。
控制许可证必须包含保护许可证。
URL过滤 URL过滤许可证允许虚拟设备使用定期的更新基于云的类别和信誉数据,以便根据受监控主机所请求的URL确定可经由网络的流量。
URL过滤许可证必须包含保护许可证。
恶意软件 恶意软件许可证允许受管设备执行基于网络的高级恶意软件防护(AMP),即,检测并阻止网络传输的文件中的恶意软件。
它还允许您查看跟踪网络传输文件的轨迹。
恶意软件许可证必须包含保护许可证。
VPN VPN许可证允许您使用虚拟防御中心在3系列设备上的虚拟路由器之间、或从3系列设备到远程设备或其他第三方VPN终端之间,建立安全的VPN隧道。
VPN许可证必须包含保护和控制许可证。
5.3版本 Sourcefire3D系统虚拟安装指南 10 虚拟设备简介许可Sourcefire虚拟设备 第1章 由于架构和资源的限制,并非所有的许可证都可被应用至所有受管设备。
一般而言,您无法许可设备不支持的功能;请参阅第8页的了解虚拟设备功能。
下表汇总了可添加至虚拟防御中心并应用于每个设备型号的许可证。
•设备行表示您是否可以将相应许可证应用到使用其管理防御中心的设备,包括防御中心。
•防御中心行(适用于FireSIGHT之外的许可证)表示防御中心是否可以将相应许可证应用至设备(包括虚拟设备)。
例如,DC500无法将URL过滤许可应用到虚拟设备。
例如,您可以通过虚拟防御中心使用3系列创建一个VPN部署,但是,您无法通过DC500使用虚拟设备来执行基于类别和信誉的URL过滤。
此外,空白单元格表示许可不被支持,而不适用表示与受管设备无关并基于防御中心的许可证。
不同型号所支持的许可证 型号 FIRESIGHT 保护 控制 URL过滤恶意软件VPN 2系列设备: •3D500/1000/2000•3D2100/2500/ 3500/4500•3D6500•3D9900 不适用 自动,无安全情报 不支持 不支持不支持 不支持 3系列设备: 不适用 支持 支持 支持 支持 支持 •7000系列 •8000系列 虚拟设备 不适用 支持 不支持硬件支持 支持 功能 不支持 用于X系列的Sourcefire软件 不适用 支持 不支持硬件支持 支持 功能 不支持 DC5002系列防御支持 无安全情报无用户控制否 否 中心 支持 DC1000/30002系支持 支持 支持 支持 支持 支持 列防御中心 DC750/1500/35003支持 支持 支持 支持 支持 支持 系列防御中心 虚拟防御中心 支持 支持 支持 支持 支持 支持 有关许可证的详细信息,请参阅《Sourcefire3D系统用户指南》中的“许可Sourcefire3D系统”章节。
5.3版本 Sourcefire3D系统虚拟安装指南 11 虚拟设备简介后续操作 第1章 后续操作 有关使用Sourcefire3D系统部署、安装和管理虚拟设备的详细信息,请参阅下列各章: •有关Sourcefire3D系统的详细信息,请参阅第13页的Sourcefire3D系统简介 •有关将虚拟化添加至被动和内联部署的详细信息,请参阅第38页的部署虚拟设备 •有关使用VMwarevCloudDirector网络门户和vSphere客户端进行安装的详细信息,请参阅第44页的安装虚拟设备 •有关初始化和设置虚拟设备和防御中心的详细信息,请参阅第57页的设置虚拟设备 •有关常见设置问题的详细信息,例如时间同步、性能问题、管理连接、感应接口和内联接口配置,请参阅第74页的虚拟设备部署故障排除 5.3版本 Sourcefire3D系统虚拟安装指南 12 第2章 SOURCEFIRE3D系统简介 5.3版本 Sourcefire3D®系统兼具行业领先的网络入侵防御系统安全性和基于检测到的应用、用户和URL控制网络访问的能力。
Sourcefire设备也可以用于交换式、路由式或混合式(交换路由式)的环境中,执行网络地址转换(NAT)以及在Sourcefire受管设备的虚拟路由器之间建立安全的虚拟专用网络(VPN)隧道。
Sourcefire防御中心®为Sourcefire3D系统提供了一个集中管理控制台和数据库资源库。
安装于各网段上的受管设备对流量进行监控,以便进行分析。
被动部署中的设备使用交换机SPAN、虚拟交换机或镜像端口等方式监控通过网络的流量。
被动感应接口无条件地接收所有流量,且这些接口上所接收的任何流量都不会被重新传输。
内联部署中的虚拟设备能够让网络免受可能影响网络上主机的可用性、完整性和保密性的攻击。
内联接口无条件地接收所有流量,并且这些接口上接收的流量都会被重新传输,除非部署中的某些配置明确放弃这些流量。
可将内联设备部署为一个简单的入侵防御系统。
也可以使用其他方法配置内联设备,以执行访问控制和管理网络流量。
除了物理设备之外,您还可以部署下列基于软件的Sourcefire设备: •适用于VMwareESXi和VMwareVMwarevCloudDirector托管环境的64位虚拟防御中心® •使用同一VMware环境以及在Crossbeam平台上托管用于X系列的Sourcefire软件的64位虚拟设备 本指南提供关于Sourcefire3D系统特性和功能的信息。
每章里的说明文本、图形和操作步骤提供了详尽的信息,帮助您导航用户界面,使系统性能得到最大程度地发挥,并提供疑难解答。
Sourcefire3D系统虚拟安装指南 13 Sourcefire3D系统简介 第2章 以下主题将介绍Sourcefire3D系统,描述其主要组件,解释如何登录和注销Sourcefire设备,提供一些有关使用系统网络界面的基础信息,以及帮助您了解如何使用本指南: •第14页的Sourcefire3D系统设备•第20页的Sourcefire3D系统组件•第25页的安全性、互联网接入和通信端口•第28页的文档资源•第29页的文档约定•第31页的IP地址约定•第32页的登录设备•第34页的登录设备以设置帐户•第35页的从设备注销•第36页的使用上下文菜单 Sourcefire3D系统设备 Sourcefire设备可以是流量感应受管设备,也可以是管理型防御中心。
物理设备是指拥有多种吞吐量和多项功能的容错专用网络设备。
防御中心可用作这些设备的集中管理点,自动汇聚并关联这些设备生成的事件。
每个物理设备类型都有若干型号;这些型号可进一步划分为多个产品系列和子系列。
您也可以将64位虚拟防御中心和设备托管至VmwareESXi和VMwarevCloudDirector托管环境。
虚拟防御中心可以管理物理设备,物理防御中心可以管理虚拟设备。
除此以外,您可以将用于X系列的Sourcefire软件托管至Crossbeam平台。
Sourcefire3D系统的许多功能都取决于设备。
有关详细信息,请参阅以下各节: •第14页的防御中心•第15页的受管设备•第15页的了解设备系列、型号和功能 防御中心 防御中心为Sourcefire3D系统部署提供了一个集中的管理点和事件数据库。
防御中心(可以是物理的或虚拟的)汇聚并关联入侵、文件、恶意软件、发现、连接和性能数据,同时评估事件对特定主机的影响并用危害表现标记主机。
借助此功能,您可以监控设备相互报告的信息,并评估和控制网络中发生的总体活动。
5.3版本 Sourcefire3D系统虚拟安装指南 14 Sourcefire3D系统简介 第2章 防御中心的主要功能包括:•设备、许可证和策略管理•表、图形和图表中显示的事件和上下文信息•运行状况与性能监控•外部通知和告警•实时威胁响应的关联、危害表现及补救功能•自定义和基于模板的报告 对于很多物理防御中心,高可用性(冗余)功能有助于确保运行的连续性。
受管设备 物理Sourcefire设备是指拥有多种吞吐量的容错专用网络设备。
您还可以托管虚拟设备或用于X系列的Sourcefire软件。
被动部署的设备可帮助您深入了解您的网络流量。
采用内联部署时,您可以使用Sourcefire基于多重标准来影响流量。
必须用防御中心管理Sourcefire设备。
根据型号和许可证,受管设备可以: •收集有关公司主机、操作系统、应用、用户、文件、网络和漏洞的详细信息•根据各种基于网络的标准以及其他标准(包括应用、用户、URL、IP地址信 誉和入侵或恶意软件检查结果)来阻止或允许网络流量。
•具有交换、路由、DHCP、NAT和VPN功能以及可配置的旁路接口、快速路 径规则和严格的TCP实施•具有集群(冗余)功能以帮助确保运行的连续性,并且具有堆栈功能以整合 多个设备的资源 了解设备系列、型号和功能 Sourcefire3D系统的5.3版本在两个系列的物理设备、虚拟设备和用于X系列的Sourcefire软件上可以提供。
Sourcefire3D系统的许多功能都取决于设备。
有关详细信息,请参阅: •第16页的2系列设备•第16页的3系列设备•第16页的虚拟设备•第16页的用于X系列的Sourcefire软件•第17页的5.3版本随附设备•第18页的不同设备型号支持的功能 5.3版本 Sourcefire3D系统虚拟安装指南 15 Sourcefire3D系统简介 第2章 2系列设备 2系列是Sourcefire物理设备的第二个系列。
由于资源和架构的限制,2系列设备只支持有限的Sourcefire3D系统功能。
尽管Sourcefire不再提供新的2系列设备,但您可以将2系列设备和防御中心重新映像至5.3版本。
重新映像将导致设备上的全部配置和事件数据丢失。
有关详细信息,请参阅《Sourcefire3D系统安装指南》。
警告!此外,您可以将特定的配置和事件数据从4.10.3版本防御中心或3D传感器迁移至5.2版本防御中心,然后升级至5.3版本。
有关详细信息,请参阅适用于5.2版本的《Sourcefire3D系统迁移指南》。
运行5.3版本时,2系列设备自动将大多数功能与保护许可证相关联:入侵检测和防御、文件控制以及基本访问控制。
然而,2系列设备不能执行安全情报过滤、高级访问控制或高级恶意软件防护。
您也无法在2系列设备上启用其他许可的功能。
除了3D9900支持快速路径规则、堆栈和分路模式,2系列设备不支持任何与3系列设备关联的基于硬件的功能:交换、路由、NAT等等。
运行5.3版本时,DC1000和DC3000等2系列防御中心支持Sourcefire3D系统的所有功能;DC500更多功能被限制。
3系列设备 3系列是Sourcefire物理设备的第三个系列。
所有7000系列和8000系列设备都属于3系列设备。
8000系列设备功能更强大,且支持7000系列设备不支持的一些功能。
虚拟设备 您可以将64位虚拟防御中心托管至VMwareESXi和VMwarevCloudDirector托管环境。
虚拟防御中心可以管理多达25个物理或虚拟设备;物理防御中心可以管理虚拟设备。
无论安装和应用了何种许可证,虚拟设备都不支持任何基于硬件的系统功能:冗余和资源共享、交换、路由等等。
此外,虚拟设备没有网络界面。
用于X系列的Sourcefire软件 您可以将基于软件的用于X系列的Sourcefire软件托管至与虚拟设备具有类似功能的Crossbeam平台。
与虚拟设备一样,用于X系列的Sourcefire软件没有网络界面。
无论安装和应用了何种许可证,用于X系列的Sourcefire软件都不支持任何基于硬件的功能,例如冗余和资源共享、堆栈、集群、交换、路由、VPN或NAT。
5.3版本 Sourcefire3D系统虚拟安装指南 16 Sourcefire3D系统简介 第2章 尽管您不能使用Sourcefire3D系统配置冗余,但您可以在安装用于X系列的Sourcefire软件软件包时配置冗余。
有关详细信息,请参阅《用于X系列的Sourcefire软件安装指南》。
5.3版本随附设备 下表列出了Sourcefire随Sourcefire3D系统的5.3版本一起交付的设备。
5.3版本Sourcefire设备型号/子系列 系列 类型 70xx子系列:•3D7010/7020/7030 3系列(7000系列) 设备 71xx子系列:•3D7110/7120•3D7115/7125•AMP7150 3系列(7000系列) 设备 81xx子系列:•3D8120/8130/8140•AMP8150 3系列(8000系列) 设备 82xx子系列:•3D8250•3D8260/8270/8290 3系列(8000系列) 设备 83xx子系列:•3D8350•3D8360/8370/8390 3系列(8000系列) 设备 虚拟设备 不适用 设备 用于X系列的Sourcefire软件不适用 设备 3系列防御中心:•DC750/1500/3500 3系列 防御中心 虚拟防御中心 不适用 防御中心 5.3版本 Sourcefire3D系统虚拟安装指南 17 Sourcefire3D系统简介 第2章 尽管Sourcefire不再提供新的2系列设备,但您可以将2系列设备和防御中心重新映像至5.3版本。
重新映像将导致设备上的全部配置和事件数据丢失。
有关详细信息,请参阅《Sourcefire3D系统安装指南》。
此外,您可以将特定的配置和事件数据从4.10.3版防御中心或3D传感器迁移至5.2版防御中心,然后升级至5.3版。
有关详细信息,请参阅适用于5.2版本的《Sourcefire3D系统迁移指南》。
有关获取指南和迁移脚本的详细信息,请联系Sourcefire技术支持部门。
不同设备型号支持的功能 Sourcefire3D系统的许多功能都取决于设备。
下表将系统的主要功能与支持这些功能的设备一一对应(假设您已安装并应用了正确的许可)。
相对应基于设备的功能(例如,堆栈、交换和路由),防御中心列说明防御中心能否管理和配置设备,以执行设备的功能。
例如,您可以使用2系列DC1000管理3系列设备上的NAT。
不同设备型号支持的功能 功能 2系列设备 2系列防御中心 3系列设备 网络发现:主支持机、应用和用户 支持 支持 地理位置数据支持 DC1000、支持DC3000 3系列防虚拟设备虚拟防 御中心 御中心 支持 支持 支持 X系列支持 支持 支持 支持 支持 入侵检测和防御(IPS) 支持 支持 支持 支持 支持 支持 支持 安全情报过滤不支持 DC1000、支持DC3000 支持 支持 支持 支持 访问控制:基本网络控制 访问控制:应用 访问控制:用户 支持 不支持不支持 支持 支持 支持 支持 DC1000、支持DC3000 支持 支持支持 支持 支持支持 支持 支持支持 支持 支持支持 访问控制:文字URL 不支持 支持 支持 支持 支持 支持 支持 5.3版本 Sourcefire3D系统虚拟安装指南 18 Sourcefire3D系统简介 第2章 不同设备型号支持的功能(续) 功能 2系列设备2系列防御中心 3系列设备 3系列防虚拟设备虚拟防 御中心 御中心 访问控制:按类别和信誉进行的 URL过滤 不支持 DC1000、支持DC3000 支持 支持 支持 文件控制:按文支持件类型 支持 支持 支持 支持 支持 基于网络的高级恶意软件防护 (AMP) 不支持 DC1000、支持DC3000 支持 支持 支持 FireAMP集成不适用 支持 不适用 支持 不适用支持 快速路径规则3D9900支持 8000系列支持 不支持支持 严格TCP实施不支持 支持 支持 支持 不支持支持 可配置旁路接口支持 支持 硬件受限制的情况除外 支持 不支持支持 分路模式 3D9900支持 支持 支持 不支持支持 交换和路由 不支持 支持 支持 支持 不支持支持 NAT策略 不支持 支持 支持 支持 不支持支持 VPN 不支持 支持 支持 支持 不支持支持 高可用性 不适用 DC1000、不适用DC3000 DC1500 、DC3500 不适用 不支持 设备堆叠 3D9900支持 3D8140、82xx系列、83xx系列 支持 不支持支持 设备集群 不支持 支持 支持 支持 不支持支持 X系列支持 支持支持 不适用不支持不支持不支持不支持不支持不支持不支持不适用 不支持 不支持 5.3版本 Sourcefire3D系统虚拟安装指南 19 Sourcefire3D系统简介 第2章 不同设备型号支持的功能(续) 功能 2系列设备2系列防御中心 3系列设备 3系列防虚拟设备虚拟防 御中心 御中心 集群堆栈 不支持 支持 3D8140、82xx系列、83xx系列 支持 不支持支持 恶意软件存储包不支持 DC1000、支持DC3000 支持 不支持不支持 交互式CLI 不支持 不支持 支持 不支持支持 不支持 X系列不支持 不支持不支持 用于X系列的Sourcefire软件具备Crossbeam平台所特有的命令行界面,您可以在此配置冗余和/或负载平衡。
有关详细信息,请参阅《用于X系列的Sourcefire软件安装指南》。
Sourcefire3D系统组件 接下来的主题介绍Sourcefire3D系统有利于公司安全的重要功能、可接受的使用策略和流量管理战略: •第20页的冗余和资源共享•第21页的网络流量管理•第22页的FireSIGHT•第22页的访问控制•第23页的入侵检测和防御•第23页的文件跟踪、控制和恶意软件防护•第24页的应用编程接口 提示!Sourcefire3D系统很多功能都取决于设备型号、许可证和用户角色。
本文档包含有关每个功能要求使用哪些Sourcefire3D系统许可证和设备以及哪些用户有权限完成各个操作步骤的详细信息。
有关详细信息,请参阅第29页的文档约定。
冗余和资源共享 可以通过Sourcefire3D系统的冗余和资源共享功能确保运行的连续性并整合多个物理设备的处理资源。
防御中心高可用性 5.3版本 Sourcefire3D系统虚拟安装指南 20 Sourcefire3D系统简介 第2章 为确保运行的连续性,您可以通过防御中心高可用性功能指定冗余DC1000、DC1500、DC3000或者DC3500防御中心来管理设备。
事件数据从受管设备流式传输至两个防御中心;两个防御中心上都保留了某些配置元素。
如果一个防御中心发生故障,您可以使用另一个防御中心继续不间断地监控网络。
设备堆栈借助设备堆栈功能,您可以通过以堆栈配置的方式连接两至四台物理设备,以增加 网段上检测的总流量。
建立堆栈配置时,您将每个堆栈设备的资源合并至单一共享配置。
设备集群借助设备集群(有时称为设备高可用性)功能,您可以在两个或多个3系列设备 或堆栈之间建立网络功能和配置数据的冗余。
集群两个或多个对等设备或堆栈可为策略应用、系统更新和注册建立单一的逻辑系统。
通过设备集群,系统可以手动或自动进行故障转移。
在大多数情况下,您可以使用Sourcefire冗余协议(SFRP)实现第3层冗余,无需集群设备。
SFRP允许设备作为指定的IP地址的冗余网关。
通过网络冗余,您可以配置两台或多台设备或堆栈来提供相同的网络连接,确保网络上其他主机的连接。
用于X系列的Sourcefire软件冗余 尽管您无法使用Sourcefire3D系统集群用于X系列的Sourcefire软件,但可以在安装用于X系列的Sourcefire软件文件包时配置冗余。
有关详细信息,请参阅《用于X系列的Sourcefire软件安装指南》。
网络流量管理 通过Sourcefire3D系统的网络流量管理功能,您可以将受管设备作为公司网络基础设施的一部分。
可以配置3系列设备,使其可以用于交换式、路由式或混合式(交换路由式)环境;执行网络地址转换(NAT);以及构建安全的虚拟专用网络(VPN)隧道。
交换 您可以在第2层部署中配置Sourcefire3D系统,使其在两个或多个网段之间提供数据包交换。
在第2层部署中,配置受管设备上的交换接口和虚拟交换机,使其作为独立的广播域运行。
虚拟交换机根据来自主机的MAC地址来确定发送数据包的目的地。
路由 在第3层部署中,您可以配置Sourcefire3D系统,使其在两个或多个接口之间路由流量。
在第3层部署中,将受管设备上的路由接口和虚拟路由器配置为可以接收和转发流量。
系统根据目标IP地址制定数据包转发决策,以路由数据包。
5.3版本 Sourcefire3D系统虚拟安装指南 21 Sourcefire3D系统简介 第2章 路由器根据转发条件从传出接口获取目标位置,而访问控制规则指定要应用的安全策略。
配置虚拟路由器时,您可以定义静态路由器。
此外,可以配置路由信息协议(RIP)和开放式最短路径优先(OSPF)动态路由协议。
还可以配置静态路由与RIP或静态路由与OSPF的组合。
可以为所配置的每个虚拟路由器设置DHCP中继。
如果在Sourcefire设备配置中同时使用虚拟交换机和虚拟路由器,您可以配置关联的混合接口,以桥接它们之间的流量。
这些实用程序将分析流量,确定流量类型和适当的响应(路由、交换或其他)。
NAT 在第3层部署中,您可以配置网络地址转换(NAT)。
从而允许从外部网络连接内部服务器,或允许内部主机或服务器连接外部应用。
还可以使用IP地址块或使用被限制的IP地址块和端口转换,配置NAT隐藏来自外部网络的专用网络地址。
VPN 虚拟专用网络(VPN)是通过互联网或其他网络等公共资源,在终端之间建立安全隧道的一种网络连接。
您可以配置Sourcefire3D系统,在3系列设备的虚拟路由器之间建立安全的VPN隧道。
FireSIGHT FireSIGHT™是Sourcefire研发的发现和感知技术,可以收集有关主机、操作系统、应用、用户、文件、网络、地理位置信息和漏洞的信息,以便让您全面了解网络。
您可以使用防御中心的网络界面查看和分析FireSIGHT收集的数据。
还可以使用此数据来执行访问控制并修改入侵规则状态。
此外,您还可以根据主机的关联事件数据,生成并跟踪网络上主机的危害表现。
访问控制 访问控制是一项基于策略的功能,可用于指定、检查和记录可以流经网络的流量。
访问控制策略决定系统如何处理网络上的流量。
您可以使用不包括访问控制规则的策略,通过以下任何一种方法,使用所谓的默认操作处理流量: •阻止所有流量进入网络•信任所有流量,所有流量无需进一步检查即可进入网络•允许所有流量进入网络,并只通过网络发现策略检查流量•允许所有流量进入网络,并通过入侵和网络发现策略检查流量您可以将访问控制规则并入至访问控制策略,以进一步定义目标设备如何处理流量,包括从简单的IP地址匹配到涉及不同用户、应用、端口和URL的复杂场景。
对于每个规则,您都要指定一个规则操作,即是否信任、监控、阻止或检查与入侵或文件策略匹配的流量。
5.3版本 Sourcefire3D系统虚拟安装指南 22 Sourcefire3D系统简介 第2章 对于每个访问控制策略,可以创建一个自定义HTML页面,在系统阻止用户的HTTP请求时向用户显示此页面。
或者,可以显示一个向用户发出警告并允许用户通过点击一个按钮继续访问初始请求站点的页面。
安全情报功能是访问控制的一部分。
通过它,您可以将特定IP地址拉入黑名单,即在按访问控制规则对流量进行分析之前,拒绝这些地址之间的往来流量。
如果系统支持地理定位,还可以根据其检测的来源和目标国家/地区与洲过滤流量。
访问控制包括入侵检测和防御、文件控制以及高级恶意软件防护。
有关详细信息,请参阅后续章节。
入侵检测和防御 入侵检测和防御功能可以监控网络流量是否存在违反安全性的情况,并且在内联部署中可以阻止或更改恶意流量。
入侵防御集成于访问控制中,您可以将入侵策略与特定访问控制规则关联。
如果网络流量符合规则中的条件,您就可以分析与入侵策略匹配的流量。
还可以将入侵策略与访问控制策略的默认操作相关联。
入侵策略包含很多组成部分,包括: •检查协议报头值、负载内容和某些数据包大小特性的规则•基于FireSIGHT建议的规则状态配置•高级设置,例如预处理器和其他检测与性能功能•可以为关联预处理器和预处理器选项生成事件的预处理器规则 文件跟踪、控制和恶意软件防护 为了帮助识别和减轻恶意软件的影响,Sourcefire3D系统的文件控制、网络文件轨迹和高级恶意软件防护组件可以检测、跟踪、捕获、分析并(可选地)阻止网络流量中的文件传输(包括恶意软件文件)。
文件控制文件控制允许受管设备检测并阻止用户通过特定应用协议上传(发送)或下载 (接收)特定类型的文件。
您可以在全局访问控制配置中配置文件控制;与访问控制规则关联的文件策略可以检查符合规则条件的网络流量。
基于网络的高级恶意软件防护(AMP)基于网络的高级恶意软件防护(AMP)允许系统检查网络流量中某些类型的文件中 是否存在恶意软件,其中包括PDF文件、诸多MicrosoftOffice文档和其他类型的文件。
检测时,受管设备可以将这些文件存储在硬盘或恶意软件存储包中,以便 5.3版本 Sourcefire3D系统虚拟安装指南 23 Sourcefire3D系统简介 第2章 进行人工分析。
无论是否存储文件,设备都可以将文件提交到Sourcefire云,以便进行动态分析。
防御中心还基于以下内容分配文件性质: •恶意软件云查找或动态分析结果(威胁分数)•文件清除列表•文件自定义检测列表 受管设备基于此信息阻止或允许文件。
您可以在全局访问控制配置过程中配置恶意软件防护;与访问控制规则关联的文件策略可以检查符合规则条件的网络流量。
FireAMP集成 FireAMP是Sourcefire制定的企业级高级恶意软件分析和防护解决方案,可发现、了解和阻止高级恶意软件爆发、高级持续性威胁和针对性攻击。
如果贵公司已订用FireAMP,个人用户可在其计算机和移动设备(也称为终端)上安装FireAMP连接器。
这些轻型代理与Sourcefire云通信,后者又与防御中心通信。
将防御中心配置为连接至云之后,您可以使用防御中心网络界面查看由于公司终端上的扫描、检测和隔离而生成的基于终端的恶意软件事件。
请使用FireAMP门户网站(/)来配置FireAMP部署。
该门户网站可帮您快速识别并隔离恶意软件。
在恶意软件爆发时,您可以识别并追踪其轨迹、了解其影响和了解如何顺利恢复。
您也可以使用FireAMP创建自定义保护,基于组策略阻止特定应用的执行,并创建自定义白名单。
网络文件轨迹 网络文件轨迹功能可以用来跟踪一个文件在网络中的传输路径。
系统使用SHA256哈希值跟踪文件;因此,要追踪文件,系统必须执行下列操作之一: •计算文件的SHA-256哈希值,并使用该值执行恶意软件云查找•通过将防御中心与贵公司的FireAMP订用集成来接收与该文件相关的基于终 端的威胁和隔离数据每个文件都有一个关联的轨迹图,其中包含随时间推移文件传输的视觉展示和有关文件的附加信息。
应用编程接口 您可以使用应用编程接口(API)以多种方式与系统交互。
关于详细信息,可从支持站点下载附加文档。
eStreamer 通过EventStreamer(eStreamer),您可以将多种事件数据从Sourcefire设备流式传输至自定义开发的客户端应用。
创建客户端应用之后,可以将其连接到eStreamer服务器(防御中心或受管设备),启动eStreamer服务,开始交换数据。
5.3版本 Sourcefire3D系统虚拟安装指南 24 Sourcefire3D系统简介 第2章 eStreamer集成需要自定义编程,但您可以向设备请求特定数据。
例如,如果您需要在某个网络管理应用中显示网络主机数据,那么您可以编写一个程序,从防御中心检索主机重要性或漏洞数据,并将此信息纳入显示范畴。
外部数据库访问 借助数据库访问功能,您可以通过支持JDBCSSL连接的第三方客户端,查询位于Sourcefire防御中心的多个数据库表。
您可以使用行业标准报告工具(例如:CrystalReports、ActuateBIRT或JasperSoftiReport)设计和提交查询。
或者,配置自定义应用来查询Sourcefire数据。
例如,您可以建立一个小服务程序,用于定期报告入侵和发现事件数据或刷新告警控制面板。
主机输入 借助主机输入功能,您可以使用脚本或命令行文件从第三方源导入数据,以增加网络映射中的信息。
该网络界面也提供一些主机输入功能;您可以修改操作系统或应用协议标识,使漏洞生效或无效,同时从网络映射中删除各项目,包括客户和服务器端口。
补救措施通过该系统的一个API,您可以创建补救措施,使防御中心可以在网络状况违反关 联的关联策略或合规白名单时自动启动这些补救措施。
该功能不仅可以在您无法立即解决攻击的时候自动缓解攻击,还可以确保系统符合公司的安全策略。
除您所创建的补救措施之外,防御中心还配备多个预定义的补救模块。
安全性、互联网接入和通信端口 为保护防御中心的安全,应将防御中心安装在受保护的内部网络中。
虽然防御中心被配置为仅提供必要的服务和端口,但您必须确保该防御中心不会受到防火墙外部的攻击。
如果防御中心和受管设备驻留在同一网络上,可将设备上的管理接口连接到防御中心所在的受保护内部网络。
这样您就可以从防御中心安全地控制设备并汇聚受管设备的网段上生成的事件数据。
通过使用防御中心的过滤功能,可以分析和关联网络上的攻击数据,以评估安全策略实施情况。
然而,请注意,Sourcefire设备被配置为直接连接到互联网。
Sourcefire3D系统的特定功能要求这种直接连接,其他功能支持使用代理服务器。
此外,系统要求某些端口保持开放,以允许基本的设备内通信以及访问设备的网络界面。
默认情况下,还会有其他多个端口保持开放,以允许系统利用附加的特性和功能。
有关详细信息,请参阅: •第26页的互联网接入要求•第27页的开放通信端口要求 5.3版本 Sourcefire3D系统虚拟安装指南 25 Sourcefire3D系统简介 第2章 互联网接入要求 默认情况下,Sourcefire设备被配置为直接连接到互联网。
Sourcefire3D系统的特定功能要求这种直接连接。
然而,所有此类功能都支持使用代理服务器;请参阅《Sourcefire3D系统用户指南》中的“配置网络设置”章节。
提示!您可以将系统软件、入侵文件、GeoDB和VDB更新手动上传至设备。
为确保操作的连续性,高可用性对中的两个防御中心必须能够访问互联网。
为获取特定功能,主防御中心连接互联网,然后在同步过程中与辅助防御中心共享信息。
因此,如果主防御中心出现故障,应将辅助防御中心升级为主防御中心,如《Sourcefire3D系统用户指南》中的“监控和更改高可用性状态”章节中所述。
下表描述了Sourcefire3D系统的互联网访问要求。
Sourcefire3D系统互联网访问要求 对于...... 要求互联网访问以...... 高可用性考虑事项 代理? RSS源控制面板构件 从外部来源下载RSS源数据,源数据未同步。
是 包括Sourcefire。
安全情报源 从外部来源下载安全情报源数据,包括Sourcefire情报源。
主防御中心下载源数据并与辅是 助防御中心共享。
如果主防御中心出现故障,必须切换角色。
URL过滤数据 下载基于云的URL类别和信誉主防御中心下载URL过滤数据是 数据以进行访问控制,查找未并与辅助防御中心共享。
如果 分类的URL。
主防御中心出现故障,必须切换角色。
恶意软件云查找(经恶执行云查找,确定在网络流量成对的防御中心独立执行云查是 意软件许可) 中检测到的文件是否包含恶意软件。
找,尽管文件策略已同步。
动态分析 将文件提交到云以进行恶意软成对的防御中心独立在云中查是 件分析。
询提交的文件以进行恶意软件 分析,尽管文件策略已同步。
FireAMP集成(FireAMP订用) 接收来自Sourcefire云的基于云连接未同步。
在两个防御中是 终端的恶意软件事件。
心上配置连接。
系统、入侵规则、GeoDB和VDB更新 将入侵规则、GeoDB、VDB或Rule、GeoDB和VDB更新已是 系统更新直接下载或安排直接同步;系统更新未同步。
所有 下载至设备。
下载更新的设备都必须能够访 问互联网。
使用IP地址上下文菜单获取域名信息 获取域名信息。
任何请求域名信息的设备都必是须能够访问互联网。
5.3版本 Sourcefire3D系统虚拟安装指南 26 Sourcefire3D系统简介 第2章 开放通信端口要求 Sourcefire3D系统要求端口443(入站)和端口8305(入站和出站)保持开放,以允许基本的设备内通信以及访问设备的网络界面。
默认情况下,多个其他端口保持开放,允许系统利用附加功能。
下表列出了这些端口。
请注意,端口67和端口68上的DHCP在默认情况下禁用。
Sourcefire3D系统开放通信端口要求 端口 说明 协议 方向 此端口开放给... 22 SSH/SSL TCP 双向 允许安全的远程设备连接。
25 SMTP TCP 出站 发送来自设备的邮件通知和告警。
53 DNS TCP 出站 使用
DNS。
67、68DHCP UDP 出站 使用DHCP。
默认情况下禁用。
80 HTTP TCP 出站或双向允许RSS源控制面板构件连接到远程网络服 务器(出站)。
添加入站访问允许防御中心通过HTTP更新自定义和第三方安全情报源,以及下载URL过滤信息。
161、162 SNMP UDP 双向(161);出站(162) 如果已禁用SNMP轮询(入站)和SNMP陷阱(出站),提供访问。
389、636 LDAP TCP 出站 跟踪用户活动,进行身份验证。
443 HTTPS/AMQP;TCP 入站或双向访问设备。
必需。
云查找 添加出站访问允许防御中心下载或接收软件 更新、VDB和GeoDB更新、URL过滤信 息、安全的安全情报源和基于终端的 (FireAMP)恶意软件事件。
通过端口443进行的连接还允许防御中心执 行云查找,以判断在网络流量中检测到的文件是否包含恶意软件,在云中查找动态分析信息,以及跟踪文件的踪迹。
通过端口443进行的连接允许受管设备将文件提交到云,以进行动态分析。
514 系统日志 UDP 出站 将告警发送到远程系统日志服务器。
5.3版本 Sourcefire3D系统虚拟安装指南 27 Sourcefire3D系统简介 第2章 Sourcefire3D系统开放通信端口要求(续) 端口 说明 协议 方向 623 SOL/LOM UDP 双向 1500、2000 1812、1813 数据库访问RADIUS TCPUDP 入站出站或双向 33068302 Sourcefire用户TCP代理 eStreamer TCP 8305 设备管理 TCP 8307 主机输入客户端TCP 32137恶意软件云查找TCP(旧版;可选) 入站 双向双向双向双向 此端口开放给... 允许您使用SerialOverLAN(SOL)连接在3系列设备上执行无人值守管理(LOM)。
如果外部数据库访问已启用,访问防御中心。
使用RADIUS。
添加入站访问可确保RADIUS身份验证和统计正确运行。
端口1812和端口1813是默认设置,但可以配置RADIUS使用其他端口;请参阅《Sourcefire3D系统用户指南》中的“配置RADIUS连接设置”章节。
允许防御中心和Sourcefire用户代理之间的通信。
使用eStreamer客户端。
在防御中心和受管设备之间通信。
必需。
允许防御中心和主机输入客户端之间的通信。
允许防御中心执行云查找,确定在网络流量中检测到的文件是否包含恶意软件,并跟踪文件的轨迹。
文档资源 Sourcefire3D系统文档集包括联机帮助和PDF文件。
您可以通过以下两种方式获取联机帮助: •点击每个页面上的上下文帮助链接•选择Help>Online 联机帮助含有有关可以在网络界面上完成的任务的详细信息,包括有关用户管理、系统管理和事件分析的程序性信息和概念性信息。
文档CD包含以下资料的PDF版: •《Sourcefire3D系统用户指南》,其内容与联机帮助相同,但格式更便于打印 •《Sourcefire3D系统安装指南》,包含有关安装Sourcefire设备的信息以及硬件规格和安全信息 5.3版本 Sourcefire3D系统虚拟安装指南 28 Sourcefire3D系统简介 第2章 •《Sourcefire3D系统虚拟安装指南》,包含有关安装、管理虚拟设备和虚拟防御中心以及疑难解答的信息 •《用于X系列的Sourcefire软件安装指南》,包含有关安装、管理用于X系列的Sourcefire软件以及疑难解答的信息 •各种API指南和补充材料 可以在Sourcefire支持网站(/)上访问最新版本的PDF文档。
文档约定 本文档包含有关每个功能要求使用哪些Sourcefire3D系统许可证和设备型号以及哪些用户角色有权限完成各个操作步骤的信息。
有关详细信息,请参阅以下各节: •第29页的许可约定•第30页的支持的设备和防御中心约定•第30页的访问约定 许可约定 各个章节开头的许可证声明指出了使用本节所述功能所要求使用的许可证,详情如下: FireSIGHT FireSIGHT许可证包含在防御中心中,必须使用此许可证才能执行主机、应用和用户发现。
防御中心上的FireSIGHT许可证决定了利用防御中心及其受管设备可以监控多少单独的主机和用户,以及可以对多少用户执行用户控制。
如果防御中心以前运行的是4.10.x版本,您可以使用旧版RNA主机和RUA用户许可证代替FireSIGHT许可证。
保护 保护许可证允许受管设备执行入侵检测和防御、文件控制以及安全情报过滤。
控制 控制许可证允许受管设备执行用户和应用控制。
此许可证还允许设备执行交换和路由(包括DHCP中继)、NAT,以及集群设备和堆栈。
控制许可证必须包含保护许可证。
URL过滤 URL过滤许可证允许受管设备基于受监控主机请求的URL,使用定期更新的基于云的类别和信誉数据确定哪些流量可以流经网络。
URL过滤许可证必须包含保护许可证。
5.3版本 Sourcefire3D系统虚拟安装指南 29 Sourcefire3D系统简介 第2章 恶意软件 恶意软件许可证允许受管设备执行基于网络的高级恶意软件防护(AMP),即检测、捕捉并阻止通过网络传输的文件中的恶意软件并提交这些文件进行动态分析。
它还允许您查看用于跟踪通过网络传输的文件的轨迹。
恶意软件许可证必须包含保护许可证。
VPN VPN许可证允许在Sourcefire受管设备的虚拟路由器之间建立安全的VPN隧道。
VPN许可证必须包含保护和控制许可证。
由于许可的功能通常是累加的,此文档仅提供每项功能的最高要求许可证。
例如,如果功能要求FireSIGHT、保护和控制许可证,则只列出控制许可证。
许可声明中“或”语句表明要使用本部分描述的功能需要使用的特定许可证,但是使用附加许可证可以增加功能。
例如,在文件策略中,有些文件规则操作要求使用保护许可证,而其他的操作则要求使用恶意软件许可证。
因此,文件规则文档的许可声明会列出“保护或恶意软件。
” 请注意,由于架构和资源的限制,并非所有的许可证都可被应用至所有受管设备。
一般而言,您无法许可设备不支持的功能;请参阅第18页的不同设备型号支持的功能。
有关许可证对可以使用的功能的影响的详细信息,包括有关使用旧版RNA主机和RUA用户许可证的信息,请参阅《Sourcefire3D系统用户指南》中的“了解许可”章节。
支持的设备和防御中心约定 每节开头的支持设备声明指出了某功能只能在指定的设备系列或型号上使用。
例如,只有在3系列设备上才支持堆栈。
如果某一节没有支持设备声明,则表明所有设备都支持该功能,或该节不适用于受管设备。
有关此版本支持的平台的详细信息,请参阅第15页的了解设备系列、型号和功能。
访问约定 本文档每个操作步骤开头的“访问”声明都指出了执行此操作步骤所要求的预定用户角色。
正斜杠隔开的角色表示任何列出的角色都可执行此操作步骤。
下表定义了访问声明中出现的常用术语。
访问约定访问术语 表明 访问管理员 用户必须具备访问控制管理员角色 管理员 用户必须具备管理员角色 任意 用户可以是任意角色 5.3版本 Sourcefire3D系统虚拟安装指南 30 Sourcefire3D系统简介 第2章 访问约定(续)访问术语任意/管理员 任何安全分析师 数据库发现管理员入侵管理员维护人员网络管理员安全分析师安全审批人 表明 用户可以是任意角色,但是只有管理员角色的访问才不受限制(例如可以查看保存为专用级别的其他用户数据) 用户可以是安全分析师角色或安全分析师(只读)角色 用户必须具备外部数据库角色 用户必须具备发现管理员角色 用户必须具备入侵管理员角色 用户必须具备维护用户角色 用户必须具备网络管理员角色 用户必须具备安全分析师角色 用户必须具备安全审批人角色 具有自定义角色的用户可以拥有不同于预定角色的权限集。
预定角色用于指示某个
程序的访问要求,而具有相似权限的自定义角色也能访问。
有关自定义用户角色的详细信息,请参阅《Sourcefire3D系统用户指南》中的“管理自定义用户角色” 章节。
IP地址约定 可以使用IPv4无类别域际路由选择(CIDR)表示法和类似的IPv6前缀长度表示法定义Sourcefire3D系统不同位置的地址块。
CIDR表示法将网络IP地址与位掩码结合使用来定义指定地址块中的IP地址。
例如,下表列出了CIDR表示法中的专用IPv4地址空间。
CIDR表示法语法示例 CIDR块 CIDR块中的IP地址 子网掩码 IP地址数量 10.0.0.0/8 10.0.0.010.255.255.255 255.0.0.0 16,777,216 5.3版本 Sourcefire3D系统虚拟安装指南 31 Sourcefire3D系统简介 第2章 登录设备 CIDR表示法语法示例(续) CIDR块 CIDR块中的IP地址 172.16.0.0/12 172.16.0.0172.31.255.255 192.168.0.0/16 192.168.0.0192.168.255.255 子网掩码255.240.0.0255.255.0.0 IP地址数量1,048,576 65,536 同样,IPv6将网络IP地址与前缀长度结合使用来定义指定块中的IP地址。
例如,2001:db8::/32指定在2001:db8::网络中前缀长度为32位的IPv6地址,即2001:db8::至2001:db8:ffff:ffff:ffff:ffff:ffff:ffff。
当您使用CIDR或前缀长度表示法指定IP地址块时,Sourcefire3D系统只使用掩码或前缀长度指定的网络IP地址部分。
例如,如果您键入10.1.2.3/8,则Sourcefire3D系统使用10.0.0.0/8。
换句话说,虽然Sourcefire建议您在使用CIDR或前缀长度表示法时采用使用位边界上网络IP地址的标准方法,但是Sourcefire3D系统并不要求必须这么做。
许可证:任意 防御中心具备网络界面,您可以使用此网络界面执行管理和分析任务。
物理受管设备具有受限的网络界面,您可以使用此网络界面执行初始设置以及基本的分析和配置任务。
虚拟受管设备和用于X系列的Sourcefire软件不具备网络界面。
您可以使用网络浏览器登录设备来访问网络界面。
有关浏览器要求的信息,请参阅此版Sourcefire3D系统的版本说明。
如果您是设备安装后第一个登录设备的用户,您必须使用管理员(admin)用户帐户登录,完成初始设置流程,详情请见《Sourcefire3D系统安装指南》。
按《Sourcefire3D系统用户指南》中的“添加新用户帐户”章节创建其他用户帐户后,您和其他用户应当使用这些帐户登录网络界面。
重要!因为Sourcefire设备根据用户帐户审计用户活动,所以请务必确保用户使用正确的帐户登录系统。
在登录设备后,可以访问的功能受控于已授予用户帐户的权限。
然而,登录设备和从设备注销的操作步骤保持不变。
如果登录时公司使用SecurID®令牌,则将令牌附加到SecurIDPIN,并将其用作登录密码。
例如,如果PIN为1111,SecurID令牌为222222,请键入1111222222。
5.3版本 Sourcefire3D系统虚拟安装指南 32 Sourcefire3D系统简介 第2章 警告!如果您多次提供不正确的凭证,您的外壳访问帐户可能会被锁定。
甚至在帐户锁定后,系统会提示您再次提供凭证。
如果您提供了正确的凭证但是登录被拒绝,请联系系统管理员,不要反复尝试登录。
首次在网络会话期间访问设备主页时,您可以查看在此设备最后一次登录会话的信息。
您可以看到以下有关最后一次登录的信息: •登录星期、月份、日期和年份•采用24小时表示法的设备本地登录时间•最后一次用于访问设备的主机名和域名默认情况下,会话会在1小时的非活动期后自动将您从设备注销,除非您已被配置为不受会话超时限制。
拥有管理员角色的用户可以更改系统策略中的会话超时间隔。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“管理用户登录设置和配置用户界面设置”章节。
请注意,有些操作步骤耗时很长。
此时,网络浏览器可能会显示脚本已停止响应的消息。
如果发生这种情况,请务必允许脚本继续运行,直到完成为止。
要通过网络界面登录设备,请执行以下操作: 访问:任意
1.将浏览器定向到https://hostname/,其中hostname对应设备的主机名。
系统将显示Login页面。
2.在Username和Password字段中,键入用户名和密码。
用户名区分大小写。
如果公司使用SecurID,请将SecurID令牌附加到SecurIDPIN末端,并在登录时将其用作密码。
您必须在登录Sourcefire3D系统之前生成SecurIDPIN。
3.点击Login。
系统将显示默认启动页面。
如果已为用户帐户选择了新主页,则系统将改为显示该页面。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“指定主页”章节。
页面顶部的菜单和菜单选项取决于用户帐户的权限。
然而,默认主页上的链接带有超出用户帐户权限范围的选项。
如果点击的链接所需的权限与已授予帐户的权限不同,系统将显示以下警告消息:您正在尝试查看未经授权的页面。
此活动已被记录。
您可以从可用菜单中选择另一个选项,或者点击浏览器窗口中的Back。
5.3版本 Sourcefire3D系统虚拟安装指南 33 Sourcefire3D系统简介 第2章 要通过命令行登录3系列或虚拟设备,请执行以下操作: 访问:CLI基本配置
1.在hostname打开一个到设备的SSH连接,其中hostname对应设备的主机名。
系统将显示loginas:命令提示符。
2.键入用户名,然后按Enter键。
系统将显示Password:提示符。
3.键入密码,然后按Enter键。
系统将显示登录横幅,后接>提示符。
您可以使用命令行访问级别允许的任何命令。
有关可用CLI命令的详细信息,请参阅《Sourcefire3D系统用户指南》中的“命令行参考”章节。
登录设备以设置帐户 许可证:任意 有些用户帐户可以通过外部身份验证服务器进行身份验证。
如果公司允许使用LDAP或RADIUS凭证登录Sourcefire3D系统,在您首次使用外部用户凭证登录设备时,设备会创建本地用户记录,将这些凭证与一系列的权限关联起来。
然后,您可以修改对本地用户记录的权限,除非这些权限通过群组或列表成员身份授予,如下所示: •如果经外部身份验证的用户帐户的默认角色被设为特定访问角色,您可以使用外部帐户凭证登录设备,无需系统管理员设置其他配置。
•如果帐户经外部身份验证并在默认情况下没有接收访问权限,您可以登录设备,但无法访问任何功能。
然后,您(或系统管理员)可以更改权限,以授予相应的用户功能访问权限。
如果您是外壳访问用户,系统不会在设备上为您创建本地用户帐户。
外壳访问受到LDAP服务器的外壳访问过滤器或PAM登录属性集或RADIUS服务器上的外壳访问列表的完全控制。
外壳用户可以使用采用小写、大写或大小写字母的用户名登录。
外壳登录身份验证区分大小写。
LDAP用户名可以包含下划线(_)、句点(.)和连字符(-),但其他字符仅支持字母数字字符。
如果登录时公司使用SecurID令牌,请将令牌附加到SecurIDPIN,并将其用作登录密码。
例如,如果PIN为1111,SecurID令牌为222222,请键入1111222222。
重要!如果您无权访问网络界面,请联系系统管理员,修改帐户权限,或者以拥有管理员访问权限的用户登录,修改帐户权限。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“修改用户权限和选项”章节。
5.3版本 Sourcefire3D系统虚拟安装指南 34 Sourcefire3D系统简介 第2章 要在设备上创建经外部身份验证的帐户,请执行以下操作: 访问:任意
1.将浏览器定向到https://hostname/,其中hostname对应设备的主机名。
系统将显示Login页面。
2.在Username和Password字段中,键入用户名和密码。
重要!如果公司使用SecurID,请将SecurID令牌附加到SecurIDPIN,并在登录时将其用作密码。
3.点击Login。
系统将页面取决于进行外部身份验证的默认访问角色:•如果在身份验证对象或系统策略中选择了默认访问角色,系统将显示默认开始页面。
如果已为用户帐户选择新主页,则系统将显示新主页。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“指定主页”章节。
页面顶部的可用菜单和菜单选项取决于用户帐户权限。
然而,默认主页上的链接带有超出用户帐户权限范围的选项。
如果点击的链接所需的权限与已授予帐户的权限不同,系统将显示以下警告消息:您正在尝试查看未经授权的页面。
此活动已被记录。
您可以从可用菜单中选择另一个选项,或者点击浏览器窗口中的Back。
•如果未选择默认访问角色,系统会再次显示Login页面,并显示以下错误消息:无法授权访问。
如果依然无法访问此设备,请联系系统管理员。
请注意,如果您使用的RADIUS服务器采用属性匹配作为身份验证方法,您的首次登录尝试会被拒绝,因为用户帐户已创建。
您必须登录第二次。
从设备注销 许可证:任意 当您当前不再使用网络界面时,即使只是暂时不使用网络浏览器,Sourcefire也建议您从设备注销。
注销会终止网络会话,确保他人不能通过您的凭证使用设备。
默认情况下,会话会在1小时的非活动期后自动将您从设备注销,除非您已被配置为不受会话超时限制。
拥有管理员角色的用户可以更改系统策略中的会话超时间隔。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“管理用户登录设置和配置用户界面设置”章节。
要从设备注销,请执行以下操作: 访问:任意 点击工具栏上的Logout。
5.3版本 Sourcefire3D系统虚拟安装指南 35 Sourcefire3D系统简介 第2章 使用上下文菜单 许可证:因功能而异 为方便起见,网络界面中的某些页面支持弹出上下文菜单,您可以将其用作快捷方式,访问Sourcefire3D系统中的其他功能。
菜单内容取决于您访问菜单的热点不仅是页面,还包括特定数据。
例如,事件视图、入侵事件数据包视图、控制面板和ContextExplorer中的IP地址热点可以提供附加选项。
通过右键单击热点,使用IP地址上下文菜单,了解与该地址关联的主机的详细信息,包括任何可用的域名和主机配置文件信息。
除了在不支持安全情报过滤的DC500防御中心上,您还可以将单个IP地址添加到安全情报全局白名单或黑名单中。
又例如,事件视图和控制面板中的SHA-256值热点允许您将文件的SHA-256哈希值添加到清除列表或自定义检测列表中,或者查看整个哈希值以复制。
请注意,DC500防御中心也不支持此功能。
下表描述了网络界面各个页面上的上下文菜单中的可用选项。
在不支持Sourcefire上下文菜单的页面或位置,会显示浏览器的标准上下文菜单。
访问控制策略编辑器 访问控制策略编辑器包含基于每条访问控制规则的热点。
您可以使用上下文菜单插入新规则和类别;剪切、复制和粘贴规则;设置规则状态;编辑规则。
NAT策略编辑器 NAT策略编辑器包含基于每条NAT规则的热点。
您可以使用上下文菜单插入新规则;剪切、复制和粘贴规则;设置规则状态;编辑规则。
入侵规则编辑器 入侵规则编辑器包含基于每条入侵规则的热点。
您可以使用上下文菜单编辑规则,设置规则状态(包括禁用规则),配置阈值和抑制选项,以及查看规则文档。
事件查看器 事件页面(向下钻取页面和表视图)包含基于每个事件、IP地址和某些已检测文件的SHA-256哈希值的热点。
对于大多数事件类型,您可以使用上下文菜单在ContextExplorer中查看相关信息,或者向下钻取至新窗口中的事件信息。
如果事件字段包含的文本太长而无法在事件视图中完全显示此文本,例如文件的SHA-256哈希值、漏洞描述或URL,您可以使用上下文菜单查看完整文本。
对于捕获的文件、文件事件和恶意软件事件,您可以使用上下文菜单将文件添加至清除列表或自定义检测列表或从这些列表中移除文件,下载文件副本,或者将文件提交到云进行动态分析。
5.3版本 Sourcefire3D系统虚拟安装指南 36 Sourcefire3D系统简介 第2章 对于入侵事件,可以使用上下文菜单执行与入侵规则编辑器或入侵策略中的任务类似的任务:编辑触发规则,设置规则状态(包括禁用规则),配置阈值和抑制选项,以及查看规则文档。
数据包视图 入侵事件数据包视图包含IP地址热点。
请注意,数据包视图使用左键单击上下文菜单而非右键单击菜单。
控制面板 许多控制面板构件包含热点,您可以在ContextExplorer中查看相关信息。
控制面板构件也可以包含IP地址和SHA-256值热点。
ContextExplorer ContextExplorer包含基于其图表、表和图形的热点。
如果想要超出ContextExplorer允许的范围,更详细地检查图形或列表中的数据,您可向下钻取相关数据的表视图。
还可以查看相关主机、用户、应用、文件和入侵规则信息。
请注意,ContextExplorer使用左键单击上下文菜单,此菜单还包含过滤选项以及ContextExplorer独有的其他选项。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“向下钻取ContextExplorer数据”章节。
要访问上下文菜单,请执行以下操作: 访问:任意
1.在网络界面中已启用热点的页面上,将光标悬停在热点上方。
除了在ContextExplorer中,系统将显示右键单击打开菜单的消息。
2.调用上下文菜单:•在ContextExplorer或数据包视图中,左键单击光标指向的设备。
•在所有其他热点启用的页面上,右键单击光标指向的设备。
系统将显示弹出上下文菜单,其中包含适用于热点的选项。
3.左键单击选项名称,选择其中一个选项。
如果您正在使用访问控制策略编辑器或NAT策略编辑器,规则将被修改。
否则,系统会根据您选择的选项打开一个新的浏览器窗口。
5.3版本 Sourcefire3D系统虚拟安装指南 37 第3章 部署虚拟设备 您可以利用虚拟设备和虚拟防御中心,在虚拟环境中部署安全解决方案,从而加强对物理和虚拟资产的保护。
通过虚拟设备和虚拟防御中心,您可以在VMware平台上轻松实施安全解决方案。
此外,虚拟设备还方便您部署和管理资源可能受到限制的远程站点中的设备。
在以下示例中,可使用物理或虚拟防御中心来管理物理或虚拟设备。
您可在IPv4或IPv6网络中进行部署。
警告!Sourcefire强烈建议您将生产网络流量和可信管理网络流量置于不同的网段。
您必须采取预防措施来确保设备和管理流量数据流的安全。
本章提供适用于以下情况的部署示例︰ •第39页的典型的Sourcefire3D系统部署•第39页的VMware虚拟设备部署 5.3版本 Sourcefire3D系统虚拟安装指南 38 部署虚拟设备典型的Sourcefire3D系统部署 第3章 典型的Sourcefire3D系统部署 在物理设备环境中,典型的Sourcefire3D系统部署可使用物理设备和物理防御中心。
下图显示的是一个部署示例。
可以在内联配置中部署设备_A和设备_
C,在被动配置中部署设备_
B,如下所示。
您可在大多数网络交换机上配置端口镜像,以便将某个交换机端口(或整个VLAN)中观测到的网络数据包复制一份发送至网络监控连接。
端口镜像也被某家大型网络设备供应商称为交换交端口分析器或SPAN,通过端口镜像您可以监控网络流量。
请注意,设备_B可通过服务器_A和服务器_B之间的交换机上的SPAN端口监控服务器_A和服务器_B之间的流量。
VMware虚拟设备部署 有关典型部署的示例,请参阅以下虚拟设备部署场景︰•第40页的添加虚拟化和虚拟设备•第41页的使用虚拟设备进行内联检测•第41页的添加虚拟防御中心 5.3版本 Sourcefire3D系统虚拟安装指南 39 部署虚拟设备VMware虚拟设备部署 第3章 •第42页的使用试部署•第43页的使用远程办公室部署 添加虚拟化和虚拟设备 您可使用虚拟基础设施来替换第39页的典型的Sourcefire3D系统部署中所述的内部物理服务器。
在以下示例中,可以使用ESXi主机,并将服务器_A和服务器_B虚拟化。
您可以使用虚拟设备来监控服务器_A和服务器_B之间的流量。
此虚拟设备感应接口必须连接到接受混杂模式流量的交换机或端口组,如下所示。
重要!要感应所有流量,需在设备感应接口所连接的虚拟交换机或端口组允许混杂模式流量。
请参阅第54页的配置虚拟设备感应接口。
尽管示例仅显示了一个感应接口,但默认情况下虚拟设备配有两个感应接口。
虚拟设备管理接口连接至您的可信管理网络以及防御中心。
5.3版本 Sourcefire3D系统虚拟安装指南 40 部署虚拟设备VMware虚拟设备部署 第3章 使用虚拟设备进行内联检测 您可以使流量通过虚拟设备的内联接口组,从而在虚拟服务器周围确定一个安全边界。
此场景依据第39页的典型的Sourcefire3D系统部署以及第40页的添加虚拟化和虚拟设备中所示的示例建立而成。
首先,创建一台受保护的虚拟交换机,并将其连接至虚拟服务器。
然后,使用虚拟设备将受保护的交换机连接至外部网络。
有关详细信息,请参阅《Sourcefire3D系统用户指南》。
重要!要感应所有流量,需在设备感应接口所连接的虚拟交换机或端口组允许混杂模式流量。
请参阅第54页的配置虚拟设备感应接口。
虚拟设备可按照入侵策略监控和丢弃进入服务器_A和服务器_B的任何恶意流量。
添加虚拟防御中心 您可以将虚拟防御中心部署在ESXi主机上,并将其连接至虚拟网络和物理网络,如下所示。
此场景依据第39页的典型的Sourcefire3D系统部署以及第41页的使用虚拟设备进行内联检测中所示的示例建立而成。
5.3版本 Sourcefire3D系统虚拟安装指南 41 部署虚拟设备VMware虚拟设备部署 第3章 利用虚拟防御中心与可信管理网络之间通过NIC2建立的连接,虚拟防御中心能够同时管理物理和虚拟设备。
使用试部署 由于Sourcefire虚拟设备已随所需的应用软件进行预配置,因此在ESXi主机上部署后,可随时运行。
这将减少复杂的硬件和软件兼容性问题,让您加快部署进程并体验Sourcefire3D系统的优势。
在此测试或试验中,您可以将多个虚拟服务器、一个虚拟防御中心和一个虚拟设备部署在ESXi主机上,并通过虚拟防御中心管理部署工作,如下所示。
您必须允许虚拟设备上的感应连接以监控网络流量。
虚拟接口连接的虚拟交换机或该交换机上的端口组必须能够接收混杂模式流量。
这样,虚拟设备便能读取打算发往其他计算机或网络设备的数据包。
示例中,P端口组设置为可接收混杂模式流量。
请参阅第54页的配置虚拟设备感应接口。
虚拟设备管理连接属于更典型的非混杂模式连接。
虚拟防御中心可为虚拟设备提供命令和控制。
利用通过ESXi主机的网络接口卡(示例中的NIC2)实现的连接,您可以访问虚拟防御中心。
有关建立虚拟防御中心和虚拟设备管理连接的信息,请参阅第64页的使用脚本配置虚拟防御中心网络设置和第59页的使用CLI设置虚拟设备。
5.3版本 Sourcefire3D系统虚拟安装指南 42 部署虚拟设备VMware虚拟设备部署 第3章 使用远程办公室部署 虚拟设备是在有限的资源上监控远程办公室的一个理想方法。
您可以将虚拟设备部署在ESXi主机上,用以监控本地流量,如下所示。
您必须允许虚拟设备上的感应连接以监控网络流量。
为此,感应接口连接的虚拟交换机或该交换机上的端口组必须能够接收混杂模式流量。
这样,虚拟设备便能读取打算发往其他计算机或网络设备的数据包。
示例中,所有vSwitch3均设置为可接收混合模式流量。
VSwitch3也通过NIC3连接至SPAN端口,监控通过远程办公室交换机的流量请参阅第54页的配置虚拟设备感应接口。
虚拟设备必须由防御中心进行管理。
利用通过ESXi主机的网络接口卡(示例中的NIC2)实现的连接,您可以使用远程防御中心访问虚拟设备。
将设备部署在不同的地理位置时,必须采取预防措施,将设备与不受保护的网络隔离,来确保设备和数据流的安全。
您可以通过VPN或其他安全隧道协议传输来自设备的数据流。
有关建立虚拟设备管理连接的信息,请参阅第59页的使用CLI设置虚拟设备。
5.3版本 Sourcefire3D系统虚拟安装指南 43 第4章 安装虚拟设备 5.3版本 Sourcefire在其支持网站上以压缩存档文件形式(.tar.gz)提供适用VMwareESXi主机环境的打包虚拟设备。
Sourcefire虚拟设备被打包为带有第7版虚拟硬件的虚拟机。
您可以通过虚拟基础设施(VI)或ESXi开放虚拟格式(OVF)模板部署虚拟设备: •使用VIOVF模板部署虚拟设备时,您可以使用部署中的设置向导配置Sourcefire所需的设置(例如,管理员帐户密码和允许设备在网络上进行通信的设置)。
您必须将虚拟设备部署至一个管理平台,此平台可以是VMwarevCloudDirector或VMwarevCenter。
•使用ESXiOVF模板部署虚拟设备时,您必须在安装之后使用虚拟设备的VMware控制台上的命令行界面(CLI)来配置设置。
您可以将虚拟设备部署至一个管理平台(VMwarevCloudDirector或VMwarevCenter),也可以将虚拟设备部署为一个独立设备。
重要!Sourcefire虚拟设备的VMware快照功能不受支持。
请按本章的指示下载、安装和配置Sourcefire虚拟设备。
有关创建虚拟主机环境的帮助信息,请参阅VMwareESXi文档。
按照以下步骤安装和配置虚拟设备后,将虚拟设备接通电源,进行初始化并按接下来的章节开始初始设置。
有关卸载虚拟设备的信息,请参阅第55页的卸载虚拟设备。
Sourcefire3D系统虚拟安装指南 44 安装虚拟设备获取安装文件 第4章 要安装和部署Sourcefire虚拟设备,请执行以下操作:
1.确保规划的部署符合第8页的操作环境先决条件中描述的先决条件。
2.从支持网站获取正确的存档文件,将这些文件复制到一个适当的存储介质,然后进行解压缩;请参阅第45页的获取安装文件。
3.使用VMwarevCloudDirector网络门户或vSphere客户端安装虚拟设备,但不要接通电源;请参阅第47页的安装虚拟设备。
4.确认和调整网络、硬件和内存设置;请参阅第53页的安装后更新重要设置。
5.确保虚拟设备上的感应接口已正确连接到ESXi主机虚拟交换机;请参阅第54页的配置虚拟设备感应接口。
获取安装文件 Sourcefire提供了安装虚拟设备所需的压缩存档文件(.tar.gz):一个用于防御中心,一个用于设备。
每个存档都包含下列文件: •文件名中包含-ESXi-的开放虚拟格式(.ovf)模板•文件名中包含-VI-的开放虚拟格式(.ovf)模板•文件名中包含-ESXi-的清单文件(.mf)•文件名中包含-VI-的清单文件(.mf)•虚拟机磁盘格式(.vmdk)安装虚拟设备之前,请从Sourcefire支持网站获取正确的存档文件。
Sourcefire建议您始终使用最新的数据包。
虚拟设备数据包通常与系统硬件的主版本(例如,5.2或5.3)相关联。
要获取虚拟设备存档文件,请执行以下操作:
1.使用支持帐户的用户名和密码,登录Sourcefire支持网站 (/)。
2.单击Downloads,选择显示页面上的3DSystem选项卡,然后点击您想要安装的系统软件的主版本。
例如,若要下载5.3版本存档文件,请点击Downloads>3DSystem>5.3。
3.使用以下命名惯例,查找要下载的虚拟设备或虚拟防御中心的存档文件:Sourcefire_3D_Device_Virtual64_VMware-
X.X.X-xxx.tar.gzSourcefire_Defense_Center_Virtual64_VMware-
X.X.X-xxx.tar.gz 其中,
X.X.X-xxx表示要下载的存档文件的版本和内部版本号。
可点击页面左侧的其中一条链接查看页面的相应部分。
例如,点击5.3VirtualAppliances,查看5.3版本的Sourcefire3D系统的存档文件。
5.3版本 Sourcefire3D系统虚拟安装指南 45 安装虚拟设备获取安装文件 第4章
4.点击要下载的档案。
文件将开始下载。
提示!在支持网站登录时,Sourcefire建议您为虚拟设备下载所有可用更新,以便在将虚拟设备安装到主版本后更新系统软件。
应当始终运行设备支持的最新版本的系统软件。
对于防御中心,您还需下载所有新的入侵规则和漏洞数据库(VDB)更新。
5.将存档文件复制至可以接入正在运行vSphere客户端或VMwarevCloudDirector网络门户的工作站或服务器的位置。
警告!请勿通过邮件传输存档文件;否则,文件会被损坏。
6.使用您偏好的工具解压缩存档文件,然后提取安装文件。
适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-
X.X.X-xxx-disk1.vmdkSourcefire_3D_Device_Virtual64_VMware-ESXi-
X.X.X-xxx.ovfSourcefire_3D_Device_Virtual64_VMware-ESXi-
X.X.X-xxx.mfSourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.mf适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-
X.X.X-xxxdisk1.vmdkSourcefire_Defense_Center_Virtual64_VMware-ESXi-
X.X.Xxxx.ovfSourcefire_Defense_Center_Virtual64_VMware-ESXi-
X.X.Xxxx.mfSourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.X-xxx.mf其中,
X.X.X-xxx表示已下载存档文件的版本和内部版本号。
请务必将所有文件都保存在同一目录下。
7.接下来安装虚拟设备,以部署虚拟设备。
5.3版本 Sourcefire3D系统虚拟安装指南 46 安装虚拟设备安装虚拟设备 第4章 安装虚拟设备 要安装虚拟设备,请使用平台接口(VMwarevCloudDirector网络门户或vSphere客户端)将OVF(VI或ESXi)模板部署至一个管理平台(VMwarevCloudDirector或VMwarevCenter)。
•如果使用VIOVF模板部署虚拟设备,您可以在安装过程中配置Sourcefire所需的设置。
必须使用VMwarevCloudDirector或VMwarevCenter管理此虚拟设备。
•如果使用ESXiOVF模板部署虚拟设备,您必须在安装之后配置Sourcefire所需的设置。
可以使用VMwarevCloudDirector或VMwarevCenter管理此虚拟设备,或者将其用作独立设备。
确保规划的部署符合第8页的操作环境先决条件中描述的先决条件并下载所需的存档文件后,请使用VMwarevCloudDirector网络门户或vSphere客户端安装虚拟设备。
您可以使用下列文件来安装虚拟设备: •适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_Defense_Center_Virtual64_VMware-ESXi-
X.X.Xxxx.ovf •适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_3D_Device_Virtual64_VMware-ESXi-
X.X.X-xxx.ovf 其中,
X.X.X-xxx表示要使用的文件的版本和内部版本号。
下表列出了部署所需的信息: VMwareOVF模板设置 操作 导入/部署OVF模板浏览至您在上一步骤下载的OVF模板以备使用。
OVF模板详细信息 确认您正在安装的设备(虚拟防御中心或虚拟设备)和部署选项(VI或ESXi)。
名称和位置 为虚拟设备输入一个具有唯一性且有意义的名称,并为设备选择库存库位。
主机/集群 选择在其上部署设备的主机或集群(仅适用于虚拟设备)。
5.3版本 Sourcefire3D系统虚拟安装指南 47 安装虚拟设备安装虚拟设备 第4章 VMwareOVF模板(续) 设置 操作 磁盘格式 选择存储虚拟磁盘的格式:密集配置延迟置零、密集配置快速置零或精简配置。
网络映射 为虚拟设备选择管理接口。
如果使用VIOVF模板部署虚拟设备,您可以在安装流程中为虚拟防御中心执行基本设置,为虚拟设备执行完整的初始设置。
您可以指定︰ •管理员帐户的新密码•网络设置,使设备可以在管理网络上进行通信•初始检测模式(仅适用于虚拟设备)•管理防御中心(仅适用于虚拟设备)如果您使用ESXiOVF模板部署虚拟设备或者选择不使用设置向导进行配置,则必须使用VMware控制台为虚拟设备执行初始设置。
关于执行初始设置的详细信息,包括关于指定哪些配置的指南,请参阅第57页的设置虚拟设备。
请使用以下方案之一安装虚拟设备:•第48页的使用VMwarevCloudDirector网络门户安装虚拟设备说明如何将虚拟设备部署至VMwarevCloudDirector。
•第51页的使用vSphere客户端安装虚拟设备说明如何将虚拟设备部署至VMwarevCenter。
要了解网络设置和检测模式,请参阅第59页的使用CLI设置虚拟设备和第63页的设置虚拟防御中心。
使用VMwarevCloudDirector网络门户安装虚拟设备 您可以按照以下步骤,使用VMwarevCloudDirector网络门户部署虚拟设备: •创建公司和目录,以将vApp模板包含在内。
有关详细信息,请参阅《VMwarevCloudDirector用户指南》。
•将Sourcefire3D系统虚拟设备OVF文件包作为vApp模板上传到目录中。
有关详细信息,请参阅第49页的上传虚拟设备OVF文件包。
•使用vApp模板创建虚拟设备。
有关详细信息,请参阅第49页的使用vApp模板。
5.3版本 Sourcefire3D系统虚拟安装指南 48 安装虚拟设备安装虚拟设备 第4章 上传虚拟设备OVF文件包 您可以将以下OVF文件包上传至VMwarevCloudDirector公司目录: •适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.Xxxx.ovf •适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovf 其中,
X.X.X-xxx表示要上传的OVF文件包的版本和内部版本号。
要上传虚拟设备OVF文件包,请执行以下操作:
1.在VMwarevCloudDirector网络门户上,选择Catalogs>Organization>vAppTemplates,其中Organization是您想要包含vVpp模板的公司的名称。
2.在vAppTemplates媒体选项卡上,点击上传图标()。
系统将显UploadOVFpackageasavAppTemplate弹出窗口。
3.在OVF文件包字段中,输入OVF文件包的位置,或者点击Browse浏览至OVF文件包。
•适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.Xxxx.ovf•适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovf其中,
X.X.X-xxx表示要上传的OVF文件包的版本和内部版本号。
4.输入OVF文件包的名称或者描述。
5.从下拉列表中,选择虚拟数据中心、存储配置文件和包含vApp数据包的目录。
6.点击Upload,将OVF文件包作为vApp模板上传至目录。
OVF文件包上传至贵公司的目录。
7.接下来使用vApp模板,以从vApp模板创建虚拟设备。
使用vApp模板 您可以使用vApp模板创建虚拟设备,在使用设置向导安装时您可以配置Sourcefire所需的设置。
在向导的每个页面上指定设置之后,点击Next继续。
为方便起见,您可以在向导的最后页面确认设置,然后完成此步骤。
5.3版本 Sourcefire3D系统虚拟安装指南 49 安装虚拟设备安装虚拟设备 第4章 要使用vApp模板创建虚拟设备,请执行以下操作:
1.在VMwarevCloudDirector网络门户上,选择MyCloud>vApps。
2.在vApps媒体选项卡上,点击添加图标(),从目录添加vApp。
系统将显示AddvAppfromCatalog弹出窗口。
3.点击模板菜单栏上的AllTemplates。
系统将显示所有可用的vApp模板列表。
4.选择要添加的vApp模板,显示虚拟设备描述。
•适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.Xxxx.ovf•适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovf其中,
X.X.X-xxx表示存档文件的版本和内部版本号。
系统将显示EndUserLicenseAgreement(EULA)。
5.阅读并接受EULA。
系统将显示NamethisvApp屏幕。
6.输入vApp的名称或者描述。
系统将显示ConfigureResources屏幕。
7.在ConfigureResources屏幕上,选择虚拟数据库,输入计算机名称(或使用默认计算机名称),然后选择存储配置文件。
系统将显示NetworkMapping屏幕。
8.选择外部、管理和内部来源的目标以及IP分配,将OVF模板中使用的网络映射至库存中的网络。
系统将显示CustomProperties屏幕。
9.或者,在CustomProperties屏幕上,在设置向导上输入Sourcefire所需的设置,对设备进行初始设置。
如果现在不进行初始设置,您可以稍后按照第57页的设置虚拟设备中的说明来设置。
系统将显示ReadytoComplete屏幕,其中显示了虚拟设备的配置。
10.确认设置,然后点击Finish。
重要!请勿为虚拟设备启用Poweronafterdeployment选项。
您必须映射感应接口,并确保将这些接口设置为在接通设备电源之前连接。
有关详细信息,请参阅第58页的初始化虚拟设备。
11.继续执行第53页的安装后更新重要设置。
5.3版本 Sourcefire3D系统虚拟安装指南 50 安装虚拟设备安装虚拟设备 第4章 使用vSphere客户端安装虚拟设备 您可以使用vSphere客户端,通过VIOVF或ESXiOVF模板部署虚拟设备: •如果使用VIOVF模板部署虚拟设备,设备必须由VMwarevCenter或VMwarevCloudDirector管理。
•如果使用ESXiOVF模板部署虚拟设备,设备可以由VMwarevCenter或VMwarevCloudDirector管理,或被部署至一个独立主机。
无论使用哪种部署,您都必须在安装之后配置Sourcefire所需的设置。
在向导的每个页面上指定设置之后,点击Next继续。
为方便起见,您可以在向导的最后页面确认设置,然后完成此步骤。
要使用vSphere客户端安装虚拟设备,请执行以下操作:
1.使用vSphere客户端,点击File>DeployOVFTemplate,部署先前下载的OVF模板文件。
系统将显示Source屏幕。
您可以在此屏幕浏览下拉列表,然后找到要部署的模板。
2.从下拉列表选择要部署的OVF模板。
•适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.Xxxx.ovfSourcefire_Defense_Center_Virtual64_VMware-ESXi-
X.X.Xxxx.ovf •适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_3D_Device_Virtual64_VMware-ESXi-
X.X.Xxxx.ovf 其中,
X.X.X-xxx表示已下载存档文件的版本和内部版本号。
系统将显示OVFTemplateDetails屏幕。
3.确认已选择正确的虚拟设备。
•对于ESXiOVF模板:系统将显示NameandLocation屏幕。
•对于VIOVF模板:系统将显示EndUserLicenseAgreement(EULA)屏幕。
阅读并接受EULA。
系统将显示NameandLocation屏幕。
4.在文本字段键入虚拟设备的名称,选择在其部署设备的库存库位。
系统将显示Host/Cluster屏幕。
5.选择在其部署模板的主机或集群。
系统将显示SpecificHost屏幕。
5.3版本 Sourcefire3D系统虚拟安装指南 51 安装虚拟设备安装虚拟设备 第4章
6.在想要部署模板的集群中选择特定主机。
系统将显示Storage屏幕。
7.选择虚拟机的目标存储位置。
系统将显示DiskFormat屏幕。
8.从以下选项中选择想要存储虚拟磁盘的格式:•密集配置延迟置零•密集配置快速置零•精简配置 系统将显示NetworkMapping屏幕。
9.选择在其部署模板的网络。
•对于ESXiOVF模板:系统将显示ESXiFinish屏幕。
•对于VIOVF模板:系统将显示Properties屏幕。
为设备输入Sourcefire所需的设置,或者点击浏览,稍后完成设置,确认设置,然后点击Finish。
重要!请勿为虚拟设备启用Poweronafterdeployment选项。
您必须映射感应接口,并确保将这些接口设置为在接通设备电源之前连接。
有关详细信息,请参阅第58页的初始化虚拟设备。
10.安装完成后,关闭状态窗口。
11.继续执行安装后更新重要设置。
5.3版本 Sourcefire3D系统虚拟安装指南 52 安装虚拟设备安装后更新重要设置 第4章 安装后更新重要设置 安装虚拟设备后,您必须确认虚拟设备的硬件和内存设置都符合部署要求。
默认设置是运行系统软件的最低要求,不得降低。
然而,为了提高性能,您可以根据可用的资源来增加虚拟设备的内存和CPU数量。
下表列出了默认的设备设置。
默认虚拟设备设置 设置 默认 设置是否支持调整 内存 4GB 支持,对于一台虚拟设备,您必须分配: •4GB(最低) •5GB,用于添加基于类别和信誉的URL过滤 •6GB,用于添加大型动态源来执行安全情报过滤 •7GB,用于添加URL过滤和安全情报 虚拟CPU4 支持,最多可增至8个 硬盘有效容量 40GB(设备) 250GB(防御中心) 不支持 以下步骤说明了如何查看和调整虚拟设备的硬件和内存设置。
要查看虚拟设备设置,请执行以下操作:
1.右键单击新虚拟设备的名称,然后从上下文菜单选择EditSettings,或者在主窗口GettingStarted选项卡中点击Editvirtualmachinesettings。
系统将显示VirtualMachineProperties弹出窗口,其中显示了Hardware选项卡。
2.确保Memory、CPU和Harddisk1的设置不低于默认值,如第53页的默认虚拟设备设置中所述。
窗口左侧列出了设备的内存设置和虚拟CPU数量。
要查看硬盘配置容量,请点击Harddisk1。
要查看思科商标的列表,请访问以下URL:/go/trademarks。
文中提及的第三方商标均归属各所有者。
“合作伙伴”一词的使用并不意味着思科和任何其他公司之间存在合作伙伴关系。
法律声明、免责声明、使用条款和本文档中包含的其他信息(“条款”)仅适用于本文档(“文档”)所述的信息以及使用方式。
这些条款不适用于或不管理由思科或其子公司(统称“思科”)控制的网站或者任何Sourcefire提供或思科提供的产品的使用。
Sourcefire和思科产品可供购买,并受包含有很多不同条款和条件的独立许可协议和/或使用条款的约束。
文档版权归思科所有,受美国和其他国家/地区版权法和其他知识产权法的保护。
您可以仅出于非商业用途使用、打印、在检索系统上保存以及通过其他方式复制和分发此文档,只要您(i)不以任何方式修改文档,(ii)始终包括思科的版权、商标和其他专有权声明,以及链接到或打印本页的所有内容和条款。
事先未经思科明确的书面许可,不得将本文档任何部分用于编译或以其他方式合并到其他作品,或者用于或并入任何其他文档或用户手册,或者用于创建衍生品。
思科保留随时更改这些条款的权利,继续使用本文档视为接受这些条款。
©2004-2014思科和/或其附属公司。
版权所有。
免责声明 文档和文档中的任何可用信息可能包括不精确之处或排版错误。
思科可能随时更改本文档。
对于思科控制的任何网站、文档和/或任何产品信息的准确性或适用性,思科不做任何表示或保证。
思科控制的网站、文档和所有产品信息都“按原样”提供,并且思科不承担任何及所有明示和暗示的保证,包括但不限于权利保证以及适销性和/或特定用途适用性的暗示保证。
对于思科控制的网站或文档所引起或以任何与思科控制的网站或文档相关的方式产生的直接、间接、偶然、特殊、惩戒性、惩罚性或必然损害(包括但不限于替代产品或服务的采购、数据丢失、利润损失和/或业务中断),无论是何种原因引起和/或是否基于合同、严格责任、疏忽或其他侵权行为或者任何其他责任理论,思科在任何情况下概不负责,即使思科已被告知存在此类损害的可能性也一样。
由于某些州/司法管辖区不允许排除或限制必然或偶然损害责任,因此上述限制可能不适用。
2015年2月17日13:59 目录 第1章:第2章: 5.3版本 虚拟设备简介.............................................................................6 Sourcefire3D系统虚拟设备.................................................................................7虚拟防御中心
...........................................................................................
7虚拟受管设备...........................................................................................
7 了解虚拟设备功能
.................................................................................................
8操作环境先决条件....................................................................................8虚拟设备性能...........................................................................................
9 许可Sourcefire虚拟设备....................................................................................10 后续操作
.............................................................................................................
12 Sourcefire3D系统简介...........................................................13 Sourcefire3D系统设备......................................................................................14防御中心................................................................................................
14受管设备................................................................................................
15了解设备系列、型号和功能....................................................................15 Sourcefire3D系统组件......................................................................................20冗余和资源共享......................................................................................
20网络流量管理.........................................................................................21FireSIGHT...............................................................................................
22访问控制................................................................................................
22入侵检测和防御......................................................................................
23文件跟踪、控制和恶意软件防护............................................................23应用编程接口.........................................................................................24 Sourcefire3D系统虚拟安装指南3 第3章:第4章: 第5章: 5.3版本 目录 安全性、互联网接入和通信端口.........................................................................25
互联网接入要求......................................................................................
26开放通信端口要求..................................................................................27 文档资源.............................................................................................................
28文档约定.............................................................................................................
29 许可约定................................................................................................
29支持的设备和防御中心约定....................................................................30访问约定................................................................................................
30IP地址约定.........................................................................................................
31登录设备.............................................................................................................
32登录设备以设置帐户...........................................................................................
34从设备注销..........................................................................................................
35使用上下文菜单...................................................................................................
36 部署虚拟设备...........................................................................38 典型的Sourcefire3D系统部署...........................................................................39VMware虚拟设备部署........................................................................................
39 添加虚拟化和虚拟设备...........................................................................40使用虚拟设备进行内联检测....................................................................41添加虚拟防御中心..................................................................................41使用试部署.............................................................................................
42使用远程办公室部署..............................................................................43 安装虚拟设备...........................................................................44 获取安装文件......................................................................................................
45安装虚拟设备......................................................................................................
47 使用VMwarevCloudDirector网络门户安装虚拟设备..........................48使用vSphere客户端安装虚拟设备........................................................51安装后更新重要设置...........................................................................................
53配置虚拟设备感应接口........................................................................................
54卸载虚拟设备......................................................................................................
55关闭虚拟设备.........................................................................................55删除虚拟设备.........................................................................................56 设置虚拟设备...........................................................................57 初始化虚拟设备...................................................................................................
58使用CLI设置虚拟设备........................................................................................
59 将虚拟设备注册至防御中心....................................................................62 Sourcefire3D系统虚拟安装指南4 第6章: 目录 设置虚拟防御中心
...............................................................................................
63使用脚本配置虚拟防御中心网络设置.....................................................64初始设置页面:虚拟防御中心................................................................65 后续步骤.............................................................................................................
72 虚拟设备部署故障排除.........................................................74 时间同步.............................................................................................................
74性能问题.............................................................................................................
75连接问题.............................................................................................................
75 使用VMwarevCloudDirector网络门户................................................75使用vSphere客户端..............................................................................75内联接口配置......................................................................................................
76获得帮助.............................................................................................................
77 5.3版本 Sourcefire3D系统虚拟安装指南5 第1章 虚拟设备简介 Sourcefire3D®系统兼具行业领先的网络入侵防御系统安全性和基于检测到的应用、用户和URL控制网络访问的能力。
Sourcefire封装了适用于VMwareESXi和VMwarevCloudDirector托管环境的64位虚拟防御中心®和虚拟设备。
防御中心为系统提供了一个集中的管理控制台和数据库资源库。
无论是被动部署还是内联部署,虚拟设备均可检查虚拟或物理网络上的流量: •被动部署中的虚拟设备仅监控流经网络的流量。
被动感应接口无条件地接收所有流量,且这些接口上所接收的任何流量都不会被重新传输。
•内联部署中的虚拟设备能够让网络免受可能影响网络上主机的可用性、完整性和保密性的攻击。
可将内联设备部署为一个简单的入侵防御系统。
也可以使用其他方法配置内联设备,以执行访问控制和管理网络流量。
内联接口无条件地接收所有流量,除非部署中的某些配置明确放弃这些流量,否则这些接口上接收的流量都不会被重新传输。
虚拟防御中心可管理物理设备和用于X系列的Sourcefire软件,物理防御中心可以管理虚拟设备。
然而,虚拟设备不支持系统基于硬件的任何系统,虚拟防御中心不支持高可用性,虚拟设备不支持集群、堆栈、交换和路由等。
有关物理Sourcefire设备的详细信息,请参阅《Sourcefire3D系统安装指南》。
本安装指南提供关于部署、安装和设置虚拟Sourcefire设备(设备和防御中心)的相关信息。
同时假定读者熟悉VMware产品(包括vSphere客户端和VMwarevCloudDirector门户网站)的功能和术语定义。
5.3版本 Sourcefire3D系统虚拟安装指南
6 虚拟设备简介Sourcefire3D系统虚拟设备 第1章 以下主题将为您介绍Sourcefire3D系统虚拟设备:•第7页的Sourcefire3D系统虚拟设备•第8页的了解虚拟设备功能•第10页的许可Sourcefire虚拟设备•第12页的后续操作 Sourcefire3D系统虚拟设备 Sourcefire虚拟设备可以是流量感应受管虚拟设备,也可以是管理型虚拟防御中心。
有关详细信息,请参阅以下各节: •第7页的虚拟防御中心•第7页的虚拟受管设备•第8页的了解虚拟设备功能•第8页的操作环境先决条件•第9页的虚拟设备性能 虚拟防御中心 防御中心为Sourcefire3D系统部署提供了一个集中的管理点和事件数据库。
虚拟防御中心汇聚并关联入侵、文件、恶意软件、发现、连接和性能数据。
借助此功能,您可以监控设备相互报告的信息,并评估和控制网络中发生的总体活动。
虚拟防御中心的主要功能包括: •设备、许可证和策略管理•表格、图形和图表中显示的事件和上下文信息•运行状况与性能监控•外部通知和警报•使用关联和补救功能进行实时威胁响应•报告 虚拟受管设备 被动部署的虚拟Sourcefire可帮助您深入了解您的网络流量。
采用内联部署时,您可以使用虚拟设备基于多重标准来影响流量。
虚拟设备可以收集有关公司主机、操作系统、应用、用户、网络和漏洞的详细信息。
通过其他许可的功能,虚拟设备可以根据各种基于网络的标准以及其他标准(包括应用、用户、URL、IP地址信誉和入侵或恶意软件检查结果)来阻止或允许网络流量。
5.3版本 Sourcefire3D系统虚拟安装指南
7 虚拟设备简介了解虚拟设备功能 第1章 虚拟设备没有网络界面。
您必须通过控制台和命令行对虚拟设备进行配置,且必须使用防御中心对其进行管理。
了解虚拟设备功能 虚拟设备具有物理设备的诸多功能:•除了无法创建高可用性虚拟防御中心对之外,虚拟防御中心具有与物理防御中心相同的功能。
借助FireSIGHT许可证,虚拟防御中心可监控50,000个主机和用户。
•虚拟设备具有物理设备的流量和阻止分析能力。
然而,这些设备不能执行交换、路由、VPN和基于硬件、冗余和资源共享的其他功能。
Sourcefire3D系统简介章中的第18页的不同设备型号支持的功能列出了Sourcefire3D系统的主要功能并说明虚拟设备是否支持这些功能(假设您已安装和应用了正确的许可证)。
有关虚拟设备所支持的功能和许可证摘要,请参阅第20页的Sourcefire3D系统组件和第10页的许可Sourcefire虚拟设备。
操作环境先决条件 您可以在以下托管环境中托管64位Sourcefire虚拟设备:•VMwarevSphere虚拟机监控程序5.1•VMwarevSphere虚拟机监控程序5.0 •VMwarevCloudDirector5.1有关创建托管环境的详细信息,请参阅VMwareESXi文档,包括VMwarevCloudDirector和VMwarevCenter。
Sourcefire虚拟设备使用开放虚拟化格式(OVF)封装。
VMware工作站、播放器、服务器和Fusion不识别OVF包装并且不受支持。
此外,Sourcefire虚拟设备被封装成带虚拟硬件第7版本的虚拟机。
用作ESXi主机的计算机必须满足以下要求: •必须具有一个可提供虚拟化支持的64位CPU,并采用英特尔虚拟化技术(VT)或AMDVirtualization™(AMD-V™)技术。
•必须在BIOS设置中启用虚拟化技术•必须具有与英特尔E1000驱动程序(如Pro1000MT双端口服务器适配器或 PRO1000GT台式机适配器)兼容的网络接口,用以托管虚拟设备。
有关详细信息,请参阅VMware网站:。
5.3版本 Sourcefire3D系统虚拟安装指南
8 虚拟设备简介了解虚拟设备功能 第1章 创建的每台虚拟设备要求ESXi主机具有一定量的内存、CPU和硬盘空间。
默认设置是运行系统软件的最低要求,不得降低。
然而,为了提高性能,您可以根据可用的资源来增加虚拟设备的内存和CPU数量。
下表列出了默认的设备设置。
默认虚拟设备设置 设置 默认 设置是否支持调整 内存 4GB 支持,对于一台虚拟设备,您必须分配:•4GB(最低)•5GB,用于使用基于类别和信誉的URL过滤•6GB,用于使用大型动态源来执行安全情报过滤•7GB,用于执行URL过滤和安全情报 虚拟CPU
4 支持,最多可增至8个 硬盘有效容量 40GB(设备) 250GB(防御中心) 不支持 虚拟设备性能 无法准确预测虚拟设备吞吐量和处理能力。
一些因素会在很大程度上影响性能,例如: •ESXi主机内存数量和CPU容量•ESXi主机上运行的虚拟设备总数量•感应接口数量、网络性能和接口速度•为每台虚拟设备分配的资源数量•共用主机的其他虚拟设备的活动水平•应用到虚拟设备的策略复杂度 提示!VMware提供多种性能测量和资源分配工具。
当您运行虚拟设备监控流量和确定吞吐量时,请使用ESXi主机上的这些工具。
如果吞吐量并不理想,调整分配至共用ESXi主机的虚拟设备的资源。
尽管Sourcefire不支持在访客层安装工具(包括VMware工具),但您可以将工具(例如或VMware/第三方插件)安装在ESXi主机上,检查虚拟性能。
然而,您必须将这些工具安装在此主机或虚拟化管理层上,而不是访客层上。
5.3版本 Sourcefire3D系统虚拟安装指南
9 虚拟设备简介许可Sourcefire虚拟设备 第1章 许可Sourcefire虚拟设备 您可以许可各种功能,为贵公司创建最佳的Sourcefire3D系统部署。
必须使用防御中心来控制其自身和所管理设备的许可证。
Sourcefire建议您在防御中心的初始设置过程中添加贵公司已购买的许可证。
否则,初始设置过程中所注册的所有设备均被作为未许可设备被添加至防御中心。
初始设置流程结束后,必须逐个启用每个设备的许可证。
有关详细信息,请参阅第57页的设置虚拟设备。
购买防御中心时随附一个FireSIGHT许可证,执行主机、应用和用户发现时要使用该许可证。
防御中心上的FireSIGHT许可证同时决定了使用防御中心及其受管设备时可以监控的主机和用户数量,以及进行用户控制的用户数量。
对于虚拟防御中心,该限值为50,000个主机和用户。
其他适用于特定型号的许可允许您的受管设备执行以下多种功能: 保护 保护许可证允许虚拟设备设备进行入侵检测和防御、文件控制和安全情报过滤。
控制 控制许可证允许虚拟设备执行用户和应用控制。
尽管虚拟设备不支持控制许可
证向2系列和3系列设备授予的任何基于硬件的功能(如切换或路由),但虚拟防御中心可管理物理设备上的此类功能。
控制许可证必须包含保护许可证。
URL过滤 URL过滤许可证允许虚拟设备使用定期的更新基于云的类别和信誉数据,以便根据受监控主机所请求的URL确定可经由网络的流量。
URL过滤许可证必须包含保护许可证。
恶意软件 恶意软件许可证允许受管设备执行基于网络的高级恶意软件防护(AMP),即,检测并阻止网络传输的文件中的恶意软件。
它还允许您查看跟踪网络传输文件的轨迹。
恶意软件许可证必须包含保护许可证。
VPN VPN许可证允许您使用虚拟防御中心在3系列设备上的虚拟路由器之间、或从3系列设备到远程设备或其他第三方VPN终端之间,建立安全的VPN隧道。
VPN许可证必须包含保护和控制许可证。
5.3版本 Sourcefire3D系统虚拟安装指南 10 虚拟设备简介许可Sourcefire虚拟设备 第1章 由于架构和资源的限制,并非所有的许可证都可被应用至所有受管设备。
一般而言,您无法许可设备不支持的功能;请参阅第8页的了解虚拟设备功能。
下表汇总了可添加至虚拟防御中心并应用于每个设备型号的许可证。
•设备行表示您是否可以将相应许可证应用到使用其管理防御中心的设备,包括防御中心。
•防御中心行(适用于FireSIGHT之外的许可证)表示防御中心是否可以将相应许可证应用至设备(包括虚拟设备)。
例如,DC500无法将URL过滤许可应用到虚拟设备。
例如,您可以通过虚拟防御中心使用3系列创建一个VPN部署,但是,您无法通过DC500使用虚拟设备来执行基于类别和信誉的URL过滤。
此外,空白单元格表示许可不被支持,而不适用表示与受管设备无关并基于防御中心的许可证。
不同型号所支持的许可证 型号 FIRESIGHT 保护 控制 URL过滤恶意软件VPN 2系列设备: •3D500/1000/2000•3D2100/2500/ 3500/4500•3D6500•3D9900 不适用 自动,无安全情报 不支持 不支持不支持 不支持 3系列设备: 不适用 支持 支持 支持 支持 支持 •7000系列 •8000系列 虚拟设备 不适用 支持 不支持硬件支持 支持 功能 不支持 用于X系列的Sourcefire软件 不适用 支持 不支持硬件支持 支持 功能 不支持 DC5002系列防御支持 无安全情报无用户控制否 否 中心 支持 DC1000/30002系支持 支持 支持 支持 支持 支持 列防御中心 DC750/1500/35003支持 支持 支持 支持 支持 支持 系列防御中心 虚拟防御中心 支持 支持 支持 支持 支持 支持 有关许可证的详细信息,请参阅《Sourcefire3D系统用户指南》中的“许可Sourcefire3D系统”章节。
5.3版本 Sourcefire3D系统虚拟安装指南 11 虚拟设备简介后续操作 第1章 后续操作 有关使用Sourcefire3D系统部署、安装和管理虚拟设备的详细信息,请参阅下列各章: •有关Sourcefire3D系统的详细信息,请参阅第13页的Sourcefire3D系统简介 •有关将虚拟化添加至被动和内联部署的详细信息,请参阅第38页的部署虚拟设备 •有关使用VMwarevCloudDirector网络门户和vSphere客户端进行安装的详细信息,请参阅第44页的安装虚拟设备 •有关初始化和设置虚拟设备和防御中心的详细信息,请参阅第57页的设置虚拟设备 •有关常见设置问题的详细信息,例如时间同步、性能问题、管理连接、感应接口和内联接口配置,请参阅第74页的虚拟设备部署故障排除 5.3版本 Sourcefire3D系统虚拟安装指南 12 第2章 SOURCEFIRE3D系统简介 5.3版本 Sourcefire3D®系统兼具行业领先的网络入侵防御系统安全性和基于检测到的应用、用户和URL控制网络访问的能力。
Sourcefire设备也可以用于交换式、路由式或混合式(交换路由式)的环境中,执行网络地址转换(NAT)以及在Sourcefire受管设备的虚拟路由器之间建立安全的虚拟专用网络(VPN)隧道。
Sourcefire防御中心®为Sourcefire3D系统提供了一个集中管理控制台和数据库资源库。
安装于各网段上的受管设备对流量进行监控,以便进行分析。
被动部署中的设备使用交换机SPAN、虚拟交换机或镜像端口等方式监控通过网络的流量。
被动感应接口无条件地接收所有流量,且这些接口上所接收的任何流量都不会被重新传输。
内联部署中的虚拟设备能够让网络免受可能影响网络上主机的可用性、完整性和保密性的攻击。
内联接口无条件地接收所有流量,并且这些接口上接收的流量都会被重新传输,除非部署中的某些配置明确放弃这些流量。
可将内联设备部署为一个简单的入侵防御系统。
也可以使用其他方法配置内联设备,以执行访问控制和管理网络流量。
除了物理设备之外,您还可以部署下列基于软件的Sourcefire设备: •适用于VMwareESXi和VMwareVMwarevCloudDirector托管环境的64位虚拟防御中心® •使用同一VMware环境以及在Crossbeam平台上托管用于X系列的Sourcefire软件的64位虚拟设备 本指南提供关于Sourcefire3D系统特性和功能的信息。
每章里的说明文本、图形和操作步骤提供了详尽的信息,帮助您导航用户界面,使系统性能得到最大程度地发挥,并提供疑难解答。
Sourcefire3D系统虚拟安装指南 13 Sourcefire3D系统简介 第2章 以下主题将介绍Sourcefire3D系统,描述其主要组件,解释如何登录和注销Sourcefire设备,提供一些有关使用系统网络界面的基础信息,以及帮助您了解如何使用本指南: •第14页的Sourcefire3D系统设备•第20页的Sourcefire3D系统组件•第25页的安全性、互联网接入和通信端口•第28页的文档资源•第29页的文档约定•第31页的IP地址约定•第32页的登录设备•第34页的登录设备以设置帐户•第35页的从设备注销•第36页的使用上下文菜单 Sourcefire3D系统设备 Sourcefire设备可以是流量感应受管设备,也可以是管理型防御中心。
物理设备是指拥有多种吞吐量和多项功能的容错专用网络设备。
防御中心可用作这些设备的集中管理点,自动汇聚并关联这些设备生成的事件。
每个物理设备类型都有若干型号;这些型号可进一步划分为多个产品系列和子系列。
您也可以将64位虚拟防御中心和设备托管至VmwareESXi和VMwarevCloudDirector托管环境。
虚拟防御中心可以管理物理设备,物理防御中心可以管理虚拟设备。
除此以外,您可以将用于X系列的Sourcefire软件托管至Crossbeam平台。
Sourcefire3D系统的许多功能都取决于设备。
有关详细信息,请参阅以下各节: •第14页的防御中心•第15页的受管设备•第15页的了解设备系列、型号和功能 防御中心 防御中心为Sourcefire3D系统部署提供了一个集中的管理点和事件数据库。
防御中心(可以是物理的或虚拟的)汇聚并关联入侵、文件、恶意软件、发现、连接和性能数据,同时评估事件对特定主机的影响并用危害表现标记主机。
借助此功能,您可以监控设备相互报告的信息,并评估和控制网络中发生的总体活动。
5.3版本 Sourcefire3D系统虚拟安装指南 14 Sourcefire3D系统简介 第2章 防御中心的主要功能包括:•设备、许可证和策略管理•表、图形和图表中显示的事件和上下文信息•运行状况与性能监控•外部通知和告警•实时威胁响应的关联、危害表现及补救功能•自定义和基于模板的报告 对于很多物理防御中心,高可用性(冗余)功能有助于确保运行的连续性。
受管设备 物理Sourcefire设备是指拥有多种吞吐量的容错专用网络设备。
您还可以托管虚拟设备或用于X系列的Sourcefire软件。
被动部署的设备可帮助您深入了解您的网络流量。
采用内联部署时,您可以使用Sourcefire基于多重标准来影响流量。
必须用防御中心管理Sourcefire设备。
根据型号和许可证,受管设备可以: •收集有关公司主机、操作系统、应用、用户、文件、网络和漏洞的详细信息•根据各种基于网络的标准以及其他标准(包括应用、用户、URL、IP地址信 誉和入侵或恶意软件检查结果)来阻止或允许网络流量。
•具有交换、路由、DHCP、NAT和VPN功能以及可配置的旁路接口、快速路 径规则和严格的TCP实施•具有集群(冗余)功能以帮助确保运行的连续性,并且具有堆栈功能以整合 多个设备的资源 了解设备系列、型号和功能 Sourcefire3D系统的5.3版本在两个系列的物理设备、虚拟设备和用于X系列的Sourcefire软件上可以提供。
Sourcefire3D系统的许多功能都取决于设备。
有关详细信息,请参阅: •第16页的2系列设备•第16页的3系列设备•第16页的虚拟设备•第16页的用于X系列的Sourcefire软件•第17页的5.3版本随附设备•第18页的不同设备型号支持的功能 5.3版本 Sourcefire3D系统虚拟安装指南 15 Sourcefire3D系统简介 第2章 2系列设备 2系列是Sourcefire物理设备的第二个系列。
由于资源和架构的限制,2系列设备只支持有限的Sourcefire3D系统功能。
尽管Sourcefire不再提供新的2系列设备,但您可以将2系列设备和防御中心重新映像至5.3版本。
重新映像将导致设备上的全部配置和事件数据丢失。
有关详细信息,请参阅《Sourcefire3D系统安装指南》。
警告!此外,您可以将特定的配置和事件数据从4.10.3版本防御中心或3D传感器迁移至5.2版本防御中心,然后升级至5.3版本。
有关详细信息,请参阅适用于5.2版本的《Sourcefire3D系统迁移指南》。
运行5.3版本时,2系列设备自动将大多数功能与保护许可证相关联:入侵检测和防御、文件控制以及基本访问控制。
然而,2系列设备不能执行安全情报过滤、高级访问控制或高级恶意软件防护。
您也无法在2系列设备上启用其他许可的功能。
除了3D9900支持快速路径规则、堆栈和分路模式,2系列设备不支持任何与3系列设备关联的基于硬件的功能:交换、路由、NAT等等。
运行5.3版本时,DC1000和DC3000等2系列防御中心支持Sourcefire3D系统的所有功能;DC500更多功能被限制。
3系列设备 3系列是Sourcefire物理设备的第三个系列。
所有7000系列和8000系列设备都属于3系列设备。
8000系列设备功能更强大,且支持7000系列设备不支持的一些功能。
虚拟设备 您可以将64位虚拟防御中心托管至VMwareESXi和VMwarevCloudDirector托管环境。
虚拟防御中心可以管理多达25个物理或虚拟设备;物理防御中心可以管理虚拟设备。
无论安装和应用了何种许可证,虚拟设备都不支持任何基于硬件的系统功能:冗余和资源共享、交换、路由等等。
此外,虚拟设备没有网络界面。
用于X系列的Sourcefire软件 您可以将基于软件的用于X系列的Sourcefire软件托管至与虚拟设备具有类似功能的Crossbeam平台。
与虚拟设备一样,用于X系列的Sourcefire软件没有网络界面。
无论安装和应用了何种许可证,用于X系列的Sourcefire软件都不支持任何基于硬件的功能,例如冗余和资源共享、堆栈、集群、交换、路由、VPN或NAT。
5.3版本 Sourcefire3D系统虚拟安装指南 16 Sourcefire3D系统简介 第2章 尽管您不能使用Sourcefire3D系统配置冗余,但您可以在安装用于X系列的Sourcefire软件软件包时配置冗余。
有关详细信息,请参阅《用于X系列的Sourcefire软件安装指南》。
5.3版本随附设备 下表列出了Sourcefire随Sourcefire3D系统的5.3版本一起交付的设备。
5.3版本Sourcefire设备型号/子系列 系列 类型 70xx子系列:•3D7010/7020/7030 3系列(7000系列) 设备 71xx子系列:•3D7110/7120•3D7115/7125•AMP7150 3系列(7000系列) 设备 81xx子系列:•3D8120/8130/8140•AMP8150 3系列(8000系列) 设备 82xx子系列:•3D8250•3D8260/8270/8290 3系列(8000系列) 设备 83xx子系列:•3D8350•3D8360/8370/8390 3系列(8000系列) 设备 虚拟设备 不适用 设备 用于X系列的Sourcefire软件不适用 设备 3系列防御中心:•DC750/1500/3500 3系列 防御中心 虚拟防御中心 不适用 防御中心 5.3版本 Sourcefire3D系统虚拟安装指南 17 Sourcefire3D系统简介 第2章 尽管Sourcefire不再提供新的2系列设备,但您可以将2系列设备和防御中心重新映像至5.3版本。
重新映像将导致设备上的全部配置和事件数据丢失。
有关详细信息,请参阅《Sourcefire3D系统安装指南》。
此外,您可以将特定的配置和事件数据从4.10.3版防御中心或3D传感器迁移至5.2版防御中心,然后升级至5.3版。
有关详细信息,请参阅适用于5.2版本的《Sourcefire3D系统迁移指南》。
有关获取指南和迁移脚本的详细信息,请联系Sourcefire技术支持部门。
不同设备型号支持的功能 Sourcefire3D系统的许多功能都取决于设备。
下表将系统的主要功能与支持这些功能的设备一一对应(假设您已安装并应用了正确的许可)。
相对应基于设备的功能(例如,堆栈、交换和路由),防御中心列说明防御中心能否管理和配置设备,以执行设备的功能。
例如,您可以使用2系列DC1000管理3系列设备上的NAT。
不同设备型号支持的功能 功能 2系列设备 2系列防御中心 3系列设备 网络发现:主支持机、应用和用户 支持 支持 地理位置数据支持 DC1000、支持DC3000 3系列防虚拟设备虚拟防 御中心 御中心 支持 支持 支持 X系列支持 支持 支持 支持 支持 入侵检测和防御(IPS) 支持 支持 支持 支持 支持 支持 支持 安全情报过滤不支持 DC1000、支持DC3000 支持 支持 支持 支持 访问控制:基本网络控制 访问控制:应用 访问控制:用户 支持 不支持不支持 支持 支持 支持 支持 DC1000、支持DC3000 支持 支持支持 支持 支持支持 支持 支持支持 支持 支持支持 访问控制:文字URL 不支持 支持 支持 支持 支持 支持 支持 5.3版本 Sourcefire3D系统虚拟安装指南 18 Sourcefire3D系统简介 第2章 不同设备型号支持的功能(续) 功能 2系列设备2系列防御中心 3系列设备 3系列防虚拟设备虚拟防 御中心 御中心 访问控制:按类别和信誉进行的 URL过滤 不支持 DC1000、支持DC3000 支持 支持 支持 文件控制:按文支持件类型 支持 支持 支持 支持 支持 基于网络的高级恶意软件防护 (AMP) 不支持 DC1000、支持DC3000 支持 支持 支持 FireAMP集成不适用 支持 不适用 支持 不适用支持 快速路径规则3D9900支持 8000系列支持 不支持支持 严格TCP实施不支持 支持 支持 支持 不支持支持 可配置旁路接口支持 支持 硬件受限制的情况除外 支持 不支持支持 分路模式 3D9900支持 支持 支持 不支持支持 交换和路由 不支持 支持 支持 支持 不支持支持 NAT策略 不支持 支持 支持 支持 不支持支持 VPN 不支持 支持 支持 支持 不支持支持 高可用性 不适用 DC1000、不适用DC3000 DC1500 、DC3500 不适用 不支持 设备堆叠 3D9900支持 3D8140、82xx系列、83xx系列 支持 不支持支持 设备集群 不支持 支持 支持 支持 不支持支持 X系列支持 支持支持 不适用不支持不支持不支持不支持不支持不支持不支持不适用 不支持 不支持 5.3版本 Sourcefire3D系统虚拟安装指南 19 Sourcefire3D系统简介 第2章 不同设备型号支持的功能(续) 功能 2系列设备2系列防御中心 3系列设备 3系列防虚拟设备虚拟防 御中心 御中心 集群堆栈 不支持 支持 3D8140、82xx系列、83xx系列 支持 不支持支持 恶意软件存储包不支持 DC1000、支持DC3000 支持 不支持不支持 交互式CLI 不支持 不支持 支持 不支持支持 不支持 X系列不支持 不支持不支持 用于X系列的Sourcefire软件具备Crossbeam平台所特有的命令行界面,您可以在此配置冗余和/或负载平衡。
有关详细信息,请参阅《用于X系列的Sourcefire软件安装指南》。
Sourcefire3D系统组件 接下来的主题介绍Sourcefire3D系统有利于公司安全的重要功能、可接受的使用策略和流量管理战略: •第20页的冗余和资源共享•第21页的网络流量管理•第22页的FireSIGHT•第22页的访问控制•第23页的入侵检测和防御•第23页的文件跟踪、控制和恶意软件防护•第24页的应用编程接口 提示!Sourcefire3D系统很多功能都取决于设备型号、许可证和用户角色。
本文档包含有关每个功能要求使用哪些Sourcefire3D系统许可证和设备以及哪些用户有权限完成各个操作步骤的详细信息。
有关详细信息,请参阅第29页的文档约定。
冗余和资源共享 可以通过Sourcefire3D系统的冗余和资源共享功能确保运行的连续性并整合多个物理设备的处理资源。
防御中心高可用性 5.3版本 Sourcefire3D系统虚拟安装指南 20 Sourcefire3D系统简介 第2章 为确保运行的连续性,您可以通过防御中心高可用性功能指定冗余DC1000、DC1500、DC3000或者DC3500防御中心来管理设备。
事件数据从受管设备流式传输至两个防御中心;两个防御中心上都保留了某些配置元素。
如果一个防御中心发生故障,您可以使用另一个防御中心继续不间断地监控网络。
设备堆栈借助设备堆栈功能,您可以通过以堆栈配置的方式连接两至四台物理设备,以增加 网段上检测的总流量。
建立堆栈配置时,您将每个堆栈设备的资源合并至单一共享配置。
设备集群借助设备集群(有时称为设备高可用性)功能,您可以在两个或多个3系列设备 或堆栈之间建立网络功能和配置数据的冗余。
集群两个或多个对等设备或堆栈可为策略应用、系统更新和注册建立单一的逻辑系统。
通过设备集群,系统可以手动或自动进行故障转移。
在大多数情况下,您可以使用Sourcefire冗余协议(SFRP)实现第3层冗余,无需集群设备。
SFRP允许设备作为指定的IP地址的冗余网关。
通过网络冗余,您可以配置两台或多台设备或堆栈来提供相同的网络连接,确保网络上其他主机的连接。
用于X系列的Sourcefire软件冗余 尽管您无法使用Sourcefire3D系统集群用于X系列的Sourcefire软件,但可以在安装用于X系列的Sourcefire软件文件包时配置冗余。
有关详细信息,请参阅《用于X系列的Sourcefire软件安装指南》。
网络流量管理 通过Sourcefire3D系统的网络流量管理功能,您可以将受管设备作为公司网络基础设施的一部分。
可以配置3系列设备,使其可以用于交换式、路由式或混合式(交换路由式)环境;执行网络地址转换(NAT);以及构建安全的虚拟专用网络(VPN)隧道。
交换 您可以在第2层部署中配置Sourcefire3D系统,使其在两个或多个网段之间提供数据包交换。
在第2层部署中,配置受管设备上的交换接口和虚拟交换机,使其作为独立的广播域运行。
虚拟交换机根据来自主机的MAC地址来确定发送数据包的目的地。
路由 在第3层部署中,您可以配置Sourcefire3D系统,使其在两个或多个接口之间路由流量。
在第3层部署中,将受管设备上的路由接口和虚拟路由器配置为可以接收和转发流量。
系统根据目标IP地址制定数据包转发决策,以路由数据包。
5.3版本 Sourcefire3D系统虚拟安装指南 21 Sourcefire3D系统简介 第2章 路由器根据转发条件从传出接口获取目标位置,而访问控制规则指定要应用的安全策略。
配置虚拟路由器时,您可以定义静态路由器。
此外,可以配置路由信息协议(RIP)和开放式最短路径优先(OSPF)动态路由协议。
还可以配置静态路由与RIP或静态路由与OSPF的组合。
可以为所配置的每个虚拟路由器设置DHCP中继。
如果在Sourcefire设备配置中同时使用虚拟交换机和虚拟路由器,您可以配置关联的混合接口,以桥接它们之间的流量。
这些实用程序将分析流量,确定流量类型和适当的响应(路由、交换或其他)。
NAT 在第3层部署中,您可以配置网络地址转换(NAT)。
从而允许从外部网络连接内部服务器,或允许内部主机或服务器连接外部应用。
还可以使用IP地址块或使用被限制的IP地址块和端口转换,配置NAT隐藏来自外部网络的专用网络地址。
VPN 虚拟专用网络(VPN)是通过互联网或其他网络等公共资源,在终端之间建立安全隧道的一种网络连接。
您可以配置Sourcefire3D系统,在3系列设备的虚拟路由器之间建立安全的VPN隧道。
FireSIGHT FireSIGHT™是Sourcefire研发的发现和感知技术,可以收集有关主机、操作系统、应用、用户、文件、网络、地理位置信息和漏洞的信息,以便让您全面了解网络。
您可以使用防御中心的网络界面查看和分析FireSIGHT收集的数据。
还可以使用此数据来执行访问控制并修改入侵规则状态。
此外,您还可以根据主机的关联事件数据,生成并跟踪网络上主机的危害表现。
访问控制 访问控制是一项基于策略的功能,可用于指定、检查和记录可以流经网络的流量。
访问控制策略决定系统如何处理网络上的流量。
您可以使用不包括访问控制规则的策略,通过以下任何一种方法,使用所谓的默认操作处理流量: •阻止所有流量进入网络•信任所有流量,所有流量无需进一步检查即可进入网络•允许所有流量进入网络,并只通过网络发现策略检查流量•允许所有流量进入网络,并通过入侵和网络发现策略检查流量您可以将访问控制规则并入至访问控制策略,以进一步定义目标设备如何处理流量,包括从简单的IP地址匹配到涉及不同用户、应用、端口和URL的复杂场景。
对于每个规则,您都要指定一个规则操作,即是否信任、监控、阻止或检查与入侵或文件策略匹配的流量。
5.3版本 Sourcefire3D系统虚拟安装指南 22 Sourcefire3D系统简介 第2章 对于每个访问控制策略,可以创建一个自定义HTML页面,在系统阻止用户的HTTP请求时向用户显示此页面。
或者,可以显示一个向用户发出警告并允许用户通过点击一个按钮继续访问初始请求站点的页面。
安全情报功能是访问控制的一部分。
通过它,您可以将特定IP地址拉入黑名单,即在按访问控制规则对流量进行分析之前,拒绝这些地址之间的往来流量。
如果系统支持地理定位,还可以根据其检测的来源和目标国家/地区与洲过滤流量。
访问控制包括入侵检测和防御、文件控制以及高级恶意软件防护。
有关详细信息,请参阅后续章节。
入侵检测和防御 入侵检测和防御功能可以监控网络流量是否存在违反安全性的情况,并且在内联部署中可以阻止或更改恶意流量。
入侵防御集成于访问控制中,您可以将入侵策略与特定访问控制规则关联。
如果网络流量符合规则中的条件,您就可以分析与入侵策略匹配的流量。
还可以将入侵策略与访问控制策略的默认操作相关联。
入侵策略包含很多组成部分,包括: •检查协议报头值、负载内容和某些数据包大小特性的规则•基于FireSIGHT建议的规则状态配置•高级设置,例如预处理器和其他检测与性能功能•可以为关联预处理器和预处理器选项生成事件的预处理器规则 文件跟踪、控制和恶意软件防护 为了帮助识别和减轻恶意软件的影响,Sourcefire3D系统的文件控制、网络文件轨迹和高级恶意软件防护组件可以检测、跟踪、捕获、分析并(可选地)阻止网络流量中的文件传输(包括恶意软件文件)。
文件控制文件控制允许受管设备检测并阻止用户通过特定应用协议上传(发送)或下载 (接收)特定类型的文件。
您可以在全局访问控制配置中配置文件控制;与访问控制规则关联的文件策略可以检查符合规则条件的网络流量。
基于网络的高级恶意软件防护(AMP)基于网络的高级恶意软件防护(AMP)允许系统检查网络流量中某些类型的文件中 是否存在恶意软件,其中包括PDF文件、诸多MicrosoftOffice文档和其他类型的文件。
检测时,受管设备可以将这些文件存储在硬盘或恶意软件存储包中,以便 5.3版本 Sourcefire3D系统虚拟安装指南 23 Sourcefire3D系统简介 第2章 进行人工分析。
无论是否存储文件,设备都可以将文件提交到Sourcefire云,以便进行动态分析。
防御中心还基于以下内容分配文件性质: •恶意软件云查找或动态分析结果(威胁分数)•文件清除列表•文件自定义检测列表 受管设备基于此信息阻止或允许文件。
您可以在全局访问控制配置过程中配置恶意软件防护;与访问控制规则关联的文件策略可以检查符合规则条件的网络流量。
FireAMP集成 FireAMP是Sourcefire制定的企业级高级恶意软件分析和防护解决方案,可发现、了解和阻止高级恶意软件爆发、高级持续性威胁和针对性攻击。
如果贵公司已订用FireAMP,个人用户可在其计算机和移动设备(也称为终端)上安装FireAMP连接器。
这些轻型代理与Sourcefire云通信,后者又与防御中心通信。
将防御中心配置为连接至云之后,您可以使用防御中心网络界面查看由于公司终端上的扫描、检测和隔离而生成的基于终端的恶意软件事件。
请使用FireAMP门户网站(/)来配置FireAMP部署。
该门户网站可帮您快速识别并隔离恶意软件。
在恶意软件爆发时,您可以识别并追踪其轨迹、了解其影响和了解如何顺利恢复。
您也可以使用FireAMP创建自定义保护,基于组策略阻止特定应用的执行,并创建自定义白名单。
网络文件轨迹 网络文件轨迹功能可以用来跟踪一个文件在网络中的传输路径。
系统使用SHA256哈希值跟踪文件;因此,要追踪文件,系统必须执行下列操作之一: •计算文件的SHA-256哈希值,并使用该值执行恶意软件云查找•通过将防御中心与贵公司的FireAMP订用集成来接收与该文件相关的基于终 端的威胁和隔离数据每个文件都有一个关联的轨迹图,其中包含随时间推移文件传输的视觉展示和有关文件的附加信息。
应用编程接口 您可以使用应用编程接口(API)以多种方式与系统交互。
关于详细信息,可从支持站点下载附加文档。
eStreamer 通过EventStreamer(eStreamer),您可以将多种事件数据从Sourcefire设备流式传输至自定义开发的客户端应用。
创建客户端应用之后,可以将其连接到eStreamer服务器(防御中心或受管设备),启动eStreamer服务,开始交换数据。
5.3版本 Sourcefire3D系统虚拟安装指南 24 Sourcefire3D系统简介 第2章 eStreamer集成需要自定义编程,但您可以向设备请求特定数据。
例如,如果您需要在某个网络管理应用中显示网络主机数据,那么您可以编写一个程序,从防御中心检索主机重要性或漏洞数据,并将此信息纳入显示范畴。
外部数据库访问 借助数据库访问功能,您可以通过支持JDBCSSL连接的第三方客户端,查询位于Sourcefire防御中心的多个数据库表。
您可以使用行业标准报告工具(例如:CrystalReports、ActuateBIRT或JasperSoftiReport)设计和提交查询。
或者,配置自定义应用来查询Sourcefire数据。
例如,您可以建立一个小服务程序,用于定期报告入侵和发现事件数据或刷新告警控制面板。
主机输入 借助主机输入功能,您可以使用脚本或命令行文件从第三方源导入数据,以增加网络映射中的信息。
该网络界面也提供一些主机输入功能;您可以修改操作系统或应用协议标识,使漏洞生效或无效,同时从网络映射中删除各项目,包括客户和服务器端口。
补救措施通过该系统的一个API,您可以创建补救措施,使防御中心可以在网络状况违反关 联的关联策略或合规白名单时自动启动这些补救措施。
该功能不仅可以在您无法立即解决攻击的时候自动缓解攻击,还可以确保系统符合公司的安全策略。
除您所创建的补救措施之外,防御中心还配备多个预定义的补救模块。
安全性、互联网接入和通信端口 为保护防御中心的安全,应将防御中心安装在受保护的内部网络中。
虽然防御中心被配置为仅提供必要的服务和端口,但您必须确保该防御中心不会受到防火墙外部的攻击。
如果防御中心和受管设备驻留在同一网络上,可将设备上的管理接口连接到防御中心所在的受保护内部网络。
这样您就可以从防御中心安全地控制设备并汇聚受管设备的网段上生成的事件数据。
通过使用防御中心的过滤功能,可以分析和关联网络上的攻击数据,以评估安全策略实施情况。
然而,请注意,Sourcefire设备被配置为直接连接到互联网。
Sourcefire3D系统的特定功能要求这种直接连接,其他功能支持使用代理服务器。
此外,系统要求某些端口保持开放,以允许基本的设备内通信以及访问设备的网络界面。
默认情况下,还会有其他多个端口保持开放,以允许系统利用附加的特性和功能。
有关详细信息,请参阅: •第26页的互联网接入要求•第27页的开放通信端口要求 5.3版本 Sourcefire3D系统虚拟安装指南 25 Sourcefire3D系统简介 第2章 互联网接入要求 默认情况下,Sourcefire设备被配置为直接连接到互联网。
Sourcefire3D系统的特定功能要求这种直接连接。
然而,所有此类功能都支持使用代理服务器;请参阅《Sourcefire3D系统用户指南》中的“配置网络设置”章节。
提示!您可以将系统软件、入侵文件、GeoDB和VDB更新手动上传至设备。
为确保操作的连续性,高可用性对中的两个防御中心必须能够访问互联网。
为获取特定功能,主防御中心连接互联网,然后在同步过程中与辅助防御中心共享信息。
因此,如果主防御中心出现故障,应将辅助防御中心升级为主防御中心,如《Sourcefire3D系统用户指南》中的“监控和更改高可用性状态”章节中所述。
下表描述了Sourcefire3D系统的互联网访问要求。
Sourcefire3D系统互联网访问要求 对于...... 要求互联网访问以...... 高可用性考虑事项 代理? RSS源控制面板构件 从外部来源下载RSS源数据,源数据未同步。
是 包括Sourcefire。
安全情报源 从外部来源下载安全情报源数据,包括Sourcefire情报源。
主防御中心下载源数据并与辅是 助防御中心共享。
如果主防御中心出现故障,必须切换角色。
URL过滤数据 下载基于云的URL类别和信誉主防御中心下载URL过滤数据是 数据以进行访问控制,查找未并与辅助防御中心共享。
如果 分类的URL。
主防御中心出现故障,必须切换角色。
恶意软件云查找(经恶执行云查找,确定在网络流量成对的防御中心独立执行云查是 意软件许可) 中检测到的文件是否包含恶意软件。
找,尽管文件策略已同步。
动态分析 将文件提交到云以进行恶意软成对的防御中心独立在云中查是 件分析。
询提交的文件以进行恶意软件 分析,尽管文件策略已同步。
FireAMP集成(FireAMP订用) 接收来自Sourcefire云的基于云连接未同步。
在两个防御中是 终端的恶意软件事件。
心上配置连接。
系统、入侵规则、GeoDB和VDB更新 将入侵规则、GeoDB、VDB或Rule、GeoDB和VDB更新已是 系统更新直接下载或安排直接同步;系统更新未同步。
所有 下载至设备。
下载更新的设备都必须能够访 问互联网。
使用IP地址上下文菜单获取域名信息 获取域名信息。
任何请求域名信息的设备都必是须能够访问互联网。
5.3版本 Sourcefire3D系统虚拟安装指南 26 Sourcefire3D系统简介 第2章 开放通信端口要求 Sourcefire3D系统要求端口443(入站)和端口8305(入站和出站)保持开放,以允许基本的设备内通信以及访问设备的网络界面。
默认情况下,多个其他端口保持开放,允许系统利用附加功能。
下表列出了这些端口。
请注意,端口67和端口68上的DHCP在默认情况下禁用。
Sourcefire3D系统开放通信端口要求 端口 说明 协议 方向 此端口开放给... 22 SSH/SSL TCP 双向 允许安全的远程设备连接。
25 SMTP TCP 出站 发送来自设备的邮件通知和告警。
53 DNS TCP 出站 使用
DNS。
67、68DHCP UDP 出站 使用DHCP。
默认情况下禁用。
80 HTTP TCP 出站或双向允许RSS源控制面板构件连接到远程网络服 务器(出站)。
添加入站访问允许防御中心通过HTTP更新自定义和第三方安全情报源,以及下载URL过滤信息。
161、162 SNMP UDP 双向(161);出站(162) 如果已禁用SNMP轮询(入站)和SNMP陷阱(出站),提供访问。
389、636 LDAP TCP 出站 跟踪用户活动,进行身份验证。
443 HTTPS/AMQP;TCP 入站或双向访问设备。
必需。
云查找 添加出站访问允许防御中心下载或接收软件 更新、VDB和GeoDB更新、URL过滤信 息、安全的安全情报源和基于终端的 (FireAMP)恶意软件事件。
通过端口443进行的连接还允许防御中心执 行云查找,以判断在网络流量中检测到的文件是否包含恶意软件,在云中查找动态分析信息,以及跟踪文件的踪迹。
通过端口443进行的连接允许受管设备将文件提交到云,以进行动态分析。
514 系统日志 UDP 出站 将告警发送到远程系统日志服务器。
5.3版本 Sourcefire3D系统虚拟安装指南 27 Sourcefire3D系统简介 第2章 Sourcefire3D系统开放通信端口要求(续) 端口 说明 协议 方向 623 SOL/LOM UDP 双向 1500、2000 1812、1813 数据库访问RADIUS TCPUDP 入站出站或双向 33068302 Sourcefire用户TCP代理 eStreamer TCP 8305 设备管理 TCP 8307 主机输入客户端TCP 32137恶意软件云查找TCP(旧版;可选) 入站 双向双向双向双向 此端口开放给... 允许您使用SerialOverLAN(SOL)连接在3系列设备上执行无人值守管理(LOM)。
如果外部数据库访问已启用,访问防御中心。
使用RADIUS。
添加入站访问可确保RADIUS身份验证和统计正确运行。
端口1812和端口1813是默认设置,但可以配置RADIUS使用其他端口;请参阅《Sourcefire3D系统用户指南》中的“配置RADIUS连接设置”章节。
允许防御中心和Sourcefire用户代理之间的通信。
使用eStreamer客户端。
在防御中心和受管设备之间通信。
必需。
允许防御中心和主机输入客户端之间的通信。
允许防御中心执行云查找,确定在网络流量中检测到的文件是否包含恶意软件,并跟踪文件的轨迹。
文档资源 Sourcefire3D系统文档集包括联机帮助和PDF文件。
您可以通过以下两种方式获取联机帮助: •点击每个页面上的上下文帮助链接•选择Help>Online 联机帮助含有有关可以在网络界面上完成的任务的详细信息,包括有关用户管理、系统管理和事件分析的程序性信息和概念性信息。
文档CD包含以下资料的PDF版: •《Sourcefire3D系统用户指南》,其内容与联机帮助相同,但格式更便于打印 •《Sourcefire3D系统安装指南》,包含有关安装Sourcefire设备的信息以及硬件规格和安全信息 5.3版本 Sourcefire3D系统虚拟安装指南 28 Sourcefire3D系统简介 第2章 •《Sourcefire3D系统虚拟安装指南》,包含有关安装、管理虚拟设备和虚拟防御中心以及疑难解答的信息 •《用于X系列的Sourcefire软件安装指南》,包含有关安装、管理用于X系列的Sourcefire软件以及疑难解答的信息 •各种API指南和补充材料 可以在Sourcefire支持网站(/)上访问最新版本的PDF文档。
文档约定 本文档包含有关每个功能要求使用哪些Sourcefire3D系统许可证和设备型号以及哪些用户角色有权限完成各个操作步骤的信息。
有关详细信息,请参阅以下各节: •第29页的许可约定•第30页的支持的设备和防御中心约定•第30页的访问约定 许可约定 各个章节开头的许可证声明指出了使用本节所述功能所要求使用的许可证,详情如下: FireSIGHT FireSIGHT许可证包含在防御中心中,必须使用此许可证才能执行主机、应用和用户发现。
防御中心上的FireSIGHT许可证决定了利用防御中心及其受管设备可以监控多少单独的主机和用户,以及可以对多少用户执行用户控制。
如果防御中心以前运行的是4.10.x版本,您可以使用旧版RNA主机和RUA用户许可证代替FireSIGHT许可证。
保护 保护许可证允许受管设备执行入侵检测和防御、文件控制以及安全情报过滤。
控制 控制许可证允许受管设备执行用户和应用控制。
此许可证还允许设备执行交换和路由(包括DHCP中继)、NAT,以及集群设备和堆栈。
控制许可证必须包含保护许可证。
URL过滤 URL过滤许可证允许受管设备基于受监控主机请求的URL,使用定期更新的基于云的类别和信誉数据确定哪些流量可以流经网络。
URL过滤许可证必须包含保护许可证。
5.3版本 Sourcefire3D系统虚拟安装指南 29 Sourcefire3D系统简介 第2章 恶意软件 恶意软件许可证允许受管设备执行基于网络的高级恶意软件防护(AMP),即检测、捕捉并阻止通过网络传输的文件中的恶意软件并提交这些文件进行动态分析。
它还允许您查看用于跟踪通过网络传输的文件的轨迹。
恶意软件许可证必须包含保护许可证。
VPN VPN许可证允许在Sourcefire受管设备的虚拟路由器之间建立安全的VPN隧道。
VPN许可证必须包含保护和控制许可证。
由于许可的功能通常是累加的,此文档仅提供每项功能的最高要求许可证。
例如,如果功能要求FireSIGHT、保护和控制许可证,则只列出控制许可证。
许可声明中“或”语句表明要使用本部分描述的功能需要使用的特定许可证,但是使用附加许可证可以增加功能。
例如,在文件策略中,有些文件规则操作要求使用保护许可证,而其他的操作则要求使用恶意软件许可证。
因此,文件规则文档的许可声明会列出“保护或恶意软件。
” 请注意,由于架构和资源的限制,并非所有的许可证都可被应用至所有受管设备。
一般而言,您无法许可设备不支持的功能;请参阅第18页的不同设备型号支持的功能。
有关许可证对可以使用的功能的影响的详细信息,包括有关使用旧版RNA主机和RUA用户许可证的信息,请参阅《Sourcefire3D系统用户指南》中的“了解许可”章节。
支持的设备和防御中心约定 每节开头的支持设备声明指出了某功能只能在指定的设备系列或型号上使用。
例如,只有在3系列设备上才支持堆栈。
如果某一节没有支持设备声明,则表明所有设备都支持该功能,或该节不适用于受管设备。
有关此版本支持的平台的详细信息,请参阅第15页的了解设备系列、型号和功能。
访问约定 本文档每个操作步骤开头的“访问”声明都指出了执行此操作步骤所要求的预定用户角色。
正斜杠隔开的角色表示任何列出的角色都可执行此操作步骤。
下表定义了访问声明中出现的常用术语。
访问约定访问术语 表明 访问管理员 用户必须具备访问控制管理员角色 管理员 用户必须具备管理员角色 任意 用户可以是任意角色 5.3版本 Sourcefire3D系统虚拟安装指南 30 Sourcefire3D系统简介 第2章 访问约定(续)访问术语任意/管理员 任何安全分析师 数据库发现管理员入侵管理员维护人员网络管理员安全分析师安全审批人 表明 用户可以是任意角色,但是只有管理员角色的访问才不受限制(例如可以查看保存为专用级别的其他用户数据) 用户可以是安全分析师角色或安全分析师(只读)角色 用户必须具备外部数据库角色 用户必须具备发现管理员角色 用户必须具备入侵管理员角色 用户必须具备维护用户角色 用户必须具备网络管理员角色 用户必须具备安全分析师角色 用户必须具备安全审批人角色 具有自定义角色的用户可以拥有不同于预定角色的权限集。
预定角色用于指示某个
程序的访问要求,而具有相似权限的自定义角色也能访问。
有关自定义用户角色的详细信息,请参阅《Sourcefire3D系统用户指南》中的“管理自定义用户角色” 章节。
IP地址约定 可以使用IPv4无类别域际路由选择(CIDR)表示法和类似的IPv6前缀长度表示法定义Sourcefire3D系统不同位置的地址块。
CIDR表示法将网络IP地址与位掩码结合使用来定义指定地址块中的IP地址。
例如,下表列出了CIDR表示法中的专用IPv4地址空间。
CIDR表示法语法示例 CIDR块 CIDR块中的IP地址 子网掩码 IP地址数量 10.0.0.0/8 10.0.0.010.255.255.255 255.0.0.0 16,777,216 5.3版本 Sourcefire3D系统虚拟安装指南 31 Sourcefire3D系统简介 第2章 登录设备 CIDR表示法语法示例(续) CIDR块 CIDR块中的IP地址 172.16.0.0/12 172.16.0.0172.31.255.255 192.168.0.0/16 192.168.0.0192.168.255.255 子网掩码255.240.0.0255.255.0.0 IP地址数量1,048,576 65,536 同样,IPv6将网络IP地址与前缀长度结合使用来定义指定块中的IP地址。
例如,2001:db8::/32指定在2001:db8::网络中前缀长度为32位的IPv6地址,即2001:db8::至2001:db8:ffff:ffff:ffff:ffff:ffff:ffff。
当您使用CIDR或前缀长度表示法指定IP地址块时,Sourcefire3D系统只使用掩码或前缀长度指定的网络IP地址部分。
例如,如果您键入10.1.2.3/8,则Sourcefire3D系统使用10.0.0.0/8。
换句话说,虽然Sourcefire建议您在使用CIDR或前缀长度表示法时采用使用位边界上网络IP地址的标准方法,但是Sourcefire3D系统并不要求必须这么做。
许可证:任意 防御中心具备网络界面,您可以使用此网络界面执行管理和分析任务。
物理受管设备具有受限的网络界面,您可以使用此网络界面执行初始设置以及基本的分析和配置任务。
虚拟受管设备和用于X系列的Sourcefire软件不具备网络界面。
您可以使用网络浏览器登录设备来访问网络界面。
有关浏览器要求的信息,请参阅此版Sourcefire3D系统的版本说明。
如果您是设备安装后第一个登录设备的用户,您必须使用管理员(admin)用户帐户登录,完成初始设置流程,详情请见《Sourcefire3D系统安装指南》。
按《Sourcefire3D系统用户指南》中的“添加新用户帐户”章节创建其他用户帐户后,您和其他用户应当使用这些帐户登录网络界面。
重要!因为Sourcefire设备根据用户帐户审计用户活动,所以请务必确保用户使用正确的帐户登录系统。
在登录设备后,可以访问的功能受控于已授予用户帐户的权限。
然而,登录设备和从设备注销的操作步骤保持不变。
如果登录时公司使用SecurID®令牌,则将令牌附加到SecurIDPIN,并将其用作登录密码。
例如,如果PIN为1111,SecurID令牌为222222,请键入1111222222。
5.3版本 Sourcefire3D系统虚拟安装指南 32 Sourcefire3D系统简介 第2章 警告!如果您多次提供不正确的凭证,您的外壳访问帐户可能会被锁定。
甚至在帐户锁定后,系统会提示您再次提供凭证。
如果您提供了正确的凭证但是登录被拒绝,请联系系统管理员,不要反复尝试登录。
首次在网络会话期间访问设备主页时,您可以查看在此设备最后一次登录会话的信息。
您可以看到以下有关最后一次登录的信息: •登录星期、月份、日期和年份•采用24小时表示法的设备本地登录时间•最后一次用于访问设备的主机名和域名默认情况下,会话会在1小时的非活动期后自动将您从设备注销,除非您已被配置为不受会话超时限制。
拥有管理员角色的用户可以更改系统策略中的会话超时间隔。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“管理用户登录设置和配置用户界面设置”章节。
请注意,有些操作步骤耗时很长。
此时,网络浏览器可能会显示脚本已停止响应的消息。
如果发生这种情况,请务必允许脚本继续运行,直到完成为止。
要通过网络界面登录设备,请执行以下操作: 访问:任意
1.将浏览器定向到https://hostname/,其中hostname对应设备的主机名。
系统将显示Login页面。
2.在Username和Password字段中,键入用户名和密码。
用户名区分大小写。
如果公司使用SecurID,请将SecurID令牌附加到SecurIDPIN末端,并在登录时将其用作密码。
您必须在登录Sourcefire3D系统之前生成SecurIDPIN。
3.点击Login。
系统将显示默认启动页面。
如果已为用户帐户选择了新主页,则系统将改为显示该页面。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“指定主页”章节。
页面顶部的菜单和菜单选项取决于用户帐户的权限。
然而,默认主页上的链接带有超出用户帐户权限范围的选项。
如果点击的链接所需的权限与已授予帐户的权限不同,系统将显示以下警告消息:您正在尝试查看未经授权的页面。
此活动已被记录。
您可以从可用菜单中选择另一个选项,或者点击浏览器窗口中的Back。
5.3版本 Sourcefire3D系统虚拟安装指南 33 Sourcefire3D系统简介 第2章 要通过命令行登录3系列或虚拟设备,请执行以下操作: 访问:CLI基本配置
1.在hostname打开一个到设备的SSH连接,其中hostname对应设备的主机名。
系统将显示loginas:命令提示符。
2.键入用户名,然后按Enter键。
系统将显示Password:提示符。
3.键入密码,然后按Enter键。
系统将显示登录横幅,后接>提示符。
您可以使用命令行访问级别允许的任何命令。
有关可用CLI命令的详细信息,请参阅《Sourcefire3D系统用户指南》中的“命令行参考”章节。
登录设备以设置帐户 许可证:任意 有些用户帐户可以通过外部身份验证服务器进行身份验证。
如果公司允许使用LDAP或RADIUS凭证登录Sourcefire3D系统,在您首次使用外部用户凭证登录设备时,设备会创建本地用户记录,将这些凭证与一系列的权限关联起来。
然后,您可以修改对本地用户记录的权限,除非这些权限通过群组或列表成员身份授予,如下所示: •如果经外部身份验证的用户帐户的默认角色被设为特定访问角色,您可以使用外部帐户凭证登录设备,无需系统管理员设置其他配置。
•如果帐户经外部身份验证并在默认情况下没有接收访问权限,您可以登录设备,但无法访问任何功能。
然后,您(或系统管理员)可以更改权限,以授予相应的用户功能访问权限。
如果您是外壳访问用户,系统不会在设备上为您创建本地用户帐户。
外壳访问受到LDAP服务器的外壳访问过滤器或PAM登录属性集或RADIUS服务器上的外壳访问列表的完全控制。
外壳用户可以使用采用小写、大写或大小写字母的用户名登录。
外壳登录身份验证区分大小写。
LDAP用户名可以包含下划线(_)、句点(.)和连字符(-),但其他字符仅支持字母数字字符。
如果登录时公司使用SecurID令牌,请将令牌附加到SecurIDPIN,并将其用作登录密码。
例如,如果PIN为1111,SecurID令牌为222222,请键入1111222222。
重要!如果您无权访问网络界面,请联系系统管理员,修改帐户权限,或者以拥有管理员访问权限的用户登录,修改帐户权限。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“修改用户权限和选项”章节。
5.3版本 Sourcefire3D系统虚拟安装指南 34 Sourcefire3D系统简介 第2章 要在设备上创建经外部身份验证的帐户,请执行以下操作: 访问:任意
1.将浏览器定向到https://hostname/,其中hostname对应设备的主机名。
系统将显示Login页面。
2.在Username和Password字段中,键入用户名和密码。
重要!如果公司使用SecurID,请将SecurID令牌附加到SecurIDPIN,并在登录时将其用作密码。
3.点击Login。
系统将页面取决于进行外部身份验证的默认访问角色:•如果在身份验证对象或系统策略中选择了默认访问角色,系统将显示默认开始页面。
如果已为用户帐户选择新主页,则系统将显示新主页。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“指定主页”章节。
页面顶部的可用菜单和菜单选项取决于用户帐户权限。
然而,默认主页上的链接带有超出用户帐户权限范围的选项。
如果点击的链接所需的权限与已授予帐户的权限不同,系统将显示以下警告消息:您正在尝试查看未经授权的页面。
此活动已被记录。
您可以从可用菜单中选择另一个选项,或者点击浏览器窗口中的Back。
•如果未选择默认访问角色,系统会再次显示Login页面,并显示以下错误消息:无法授权访问。
如果依然无法访问此设备,请联系系统管理员。
请注意,如果您使用的RADIUS服务器采用属性匹配作为身份验证方法,您的首次登录尝试会被拒绝,因为用户帐户已创建。
您必须登录第二次。
从设备注销 许可证:任意 当您当前不再使用网络界面时,即使只是暂时不使用网络浏览器,Sourcefire也建议您从设备注销。
注销会终止网络会话,确保他人不能通过您的凭证使用设备。
默认情况下,会话会在1小时的非活动期后自动将您从设备注销,除非您已被配置为不受会话超时限制。
拥有管理员角色的用户可以更改系统策略中的会话超时间隔。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“管理用户登录设置和配置用户界面设置”章节。
要从设备注销,请执行以下操作: 访问:任意 点击工具栏上的Logout。
5.3版本 Sourcefire3D系统虚拟安装指南 35 Sourcefire3D系统简介 第2章 使用上下文菜单 许可证:因功能而异 为方便起见,网络界面中的某些页面支持弹出上下文菜单,您可以将其用作快捷方式,访问Sourcefire3D系统中的其他功能。
菜单内容取决于您访问菜单的热点不仅是页面,还包括特定数据。
例如,事件视图、入侵事件数据包视图、控制面板和ContextExplorer中的IP地址热点可以提供附加选项。
通过右键单击热点,使用IP地址上下文菜单,了解与该地址关联的主机的详细信息,包括任何可用的域名和主机配置文件信息。
除了在不支持安全情报过滤的DC500防御中心上,您还可以将单个IP地址添加到安全情报全局白名单或黑名单中。
又例如,事件视图和控制面板中的SHA-256值热点允许您将文件的SHA-256哈希值添加到清除列表或自定义检测列表中,或者查看整个哈希值以复制。
请注意,DC500防御中心也不支持此功能。
下表描述了网络界面各个页面上的上下文菜单中的可用选项。
在不支持Sourcefire上下文菜单的页面或位置,会显示浏览器的标准上下文菜单。
访问控制策略编辑器 访问控制策略编辑器包含基于每条访问控制规则的热点。
您可以使用上下文菜单插入新规则和类别;剪切、复制和粘贴规则;设置规则状态;编辑规则。
NAT策略编辑器 NAT策略编辑器包含基于每条NAT规则的热点。
您可以使用上下文菜单插入新规则;剪切、复制和粘贴规则;设置规则状态;编辑规则。
入侵规则编辑器 入侵规则编辑器包含基于每条入侵规则的热点。
您可以使用上下文菜单编辑规则,设置规则状态(包括禁用规则),配置阈值和抑制选项,以及查看规则文档。
事件查看器 事件页面(向下钻取页面和表视图)包含基于每个事件、IP地址和某些已检测文件的SHA-256哈希值的热点。
对于大多数事件类型,您可以使用上下文菜单在ContextExplorer中查看相关信息,或者向下钻取至新窗口中的事件信息。
如果事件字段包含的文本太长而无法在事件视图中完全显示此文本,例如文件的SHA-256哈希值、漏洞描述或URL,您可以使用上下文菜单查看完整文本。
对于捕获的文件、文件事件和恶意软件事件,您可以使用上下文菜单将文件添加至清除列表或自定义检测列表或从这些列表中移除文件,下载文件副本,或者将文件提交到云进行动态分析。
5.3版本 Sourcefire3D系统虚拟安装指南 36 Sourcefire3D系统简介 第2章 对于入侵事件,可以使用上下文菜单执行与入侵规则编辑器或入侵策略中的任务类似的任务:编辑触发规则,设置规则状态(包括禁用规则),配置阈值和抑制选项,以及查看规则文档。
数据包视图 入侵事件数据包视图包含IP地址热点。
请注意,数据包视图使用左键单击上下文菜单而非右键单击菜单。
控制面板 许多控制面板构件包含热点,您可以在ContextExplorer中查看相关信息。
控制面板构件也可以包含IP地址和SHA-256值热点。
ContextExplorer ContextExplorer包含基于其图表、表和图形的热点。
如果想要超出ContextExplorer允许的范围,更详细地检查图形或列表中的数据,您可向下钻取相关数据的表视图。
还可以查看相关主机、用户、应用、文件和入侵规则信息。
请注意,ContextExplorer使用左键单击上下文菜单,此菜单还包含过滤选项以及ContextExplorer独有的其他选项。
有关详细信息,请参阅《Sourcefire3D系统用户指南》中的“向下钻取ContextExplorer数据”章节。
要访问上下文菜单,请执行以下操作: 访问:任意
1.在网络界面中已启用热点的页面上,将光标悬停在热点上方。
除了在ContextExplorer中,系统将显示右键单击打开菜单的消息。
2.调用上下文菜单:•在ContextExplorer或数据包视图中,左键单击光标指向的设备。
•在所有其他热点启用的页面上,右键单击光标指向的设备。
系统将显示弹出上下文菜单,其中包含适用于热点的选项。
3.左键单击选项名称,选择其中一个选项。
如果您正在使用访问控制策略编辑器或NAT策略编辑器,规则将被修改。
否则,系统会根据您选择的选项打开一个新的浏览器窗口。
5.3版本 Sourcefire3D系统虚拟安装指南 37 第3章 部署虚拟设备 您可以利用虚拟设备和虚拟防御中心,在虚拟环境中部署安全解决方案,从而加强对物理和虚拟资产的保护。
通过虚拟设备和虚拟防御中心,您可以在VMware平台上轻松实施安全解决方案。
此外,虚拟设备还方便您部署和管理资源可能受到限制的远程站点中的设备。
在以下示例中,可使用物理或虚拟防御中心来管理物理或虚拟设备。
您可在IPv4或IPv6网络中进行部署。
警告!Sourcefire强烈建议您将生产网络流量和可信管理网络流量置于不同的网段。
您必须采取预防措施来确保设备和管理流量数据流的安全。
本章提供适用于以下情况的部署示例︰ •第39页的典型的Sourcefire3D系统部署•第39页的VMware虚拟设备部署 5.3版本 Sourcefire3D系统虚拟安装指南 38 部署虚拟设备典型的Sourcefire3D系统部署 第3章 典型的Sourcefire3D系统部署 在物理设备环境中,典型的Sourcefire3D系统部署可使用物理设备和物理防御中心。
下图显示的是一个部署示例。
可以在内联配置中部署设备_A和设备_
C,在被动配置中部署设备_
B,如下所示。
您可在大多数网络交换机上配置端口镜像,以便将某个交换机端口(或整个VLAN)中观测到的网络数据包复制一份发送至网络监控连接。
端口镜像也被某家大型网络设备供应商称为交换交端口分析器或SPAN,通过端口镜像您可以监控网络流量。
请注意,设备_B可通过服务器_A和服务器_B之间的交换机上的SPAN端口监控服务器_A和服务器_B之间的流量。
VMware虚拟设备部署 有关典型部署的示例,请参阅以下虚拟设备部署场景︰•第40页的添加虚拟化和虚拟设备•第41页的使用虚拟设备进行内联检测•第41页的添加虚拟防御中心 5.3版本 Sourcefire3D系统虚拟安装指南 39 部署虚拟设备VMware虚拟设备部署 第3章 •第42页的使用试部署•第43页的使用远程办公室部署 添加虚拟化和虚拟设备 您可使用虚拟基础设施来替换第39页的典型的Sourcefire3D系统部署中所述的内部物理服务器。
在以下示例中,可以使用ESXi主机,并将服务器_A和服务器_B虚拟化。
您可以使用虚拟设备来监控服务器_A和服务器_B之间的流量。
此虚拟设备感应接口必须连接到接受混杂模式流量的交换机或端口组,如下所示。
重要!要感应所有流量,需在设备感应接口所连接的虚拟交换机或端口组允许混杂模式流量。
请参阅第54页的配置虚拟设备感应接口。
尽管示例仅显示了一个感应接口,但默认情况下虚拟设备配有两个感应接口。
虚拟设备管理接口连接至您的可信管理网络以及防御中心。
5.3版本 Sourcefire3D系统虚拟安装指南 40 部署虚拟设备VMware虚拟设备部署 第3章 使用虚拟设备进行内联检测 您可以使流量通过虚拟设备的内联接口组,从而在虚拟服务器周围确定一个安全边界。
此场景依据第39页的典型的Sourcefire3D系统部署以及第40页的添加虚拟化和虚拟设备中所示的示例建立而成。
首先,创建一台受保护的虚拟交换机,并将其连接至虚拟服务器。
然后,使用虚拟设备将受保护的交换机连接至外部网络。
有关详细信息,请参阅《Sourcefire3D系统用户指南》。
重要!要感应所有流量,需在设备感应接口所连接的虚拟交换机或端口组允许混杂模式流量。
请参阅第54页的配置虚拟设备感应接口。
虚拟设备可按照入侵策略监控和丢弃进入服务器_A和服务器_B的任何恶意流量。
添加虚拟防御中心 您可以将虚拟防御中心部署在ESXi主机上,并将其连接至虚拟网络和物理网络,如下所示。
此场景依据第39页的典型的Sourcefire3D系统部署以及第41页的使用虚拟设备进行内联检测中所示的示例建立而成。
5.3版本 Sourcefire3D系统虚拟安装指南 41 部署虚拟设备VMware虚拟设备部署 第3章 利用虚拟防御中心与可信管理网络之间通过NIC2建立的连接,虚拟防御中心能够同时管理物理和虚拟设备。
使用试部署 由于Sourcefire虚拟设备已随所需的应用软件进行预配置,因此在ESXi主机上部署后,可随时运行。
这将减少复杂的硬件和软件兼容性问题,让您加快部署进程并体验Sourcefire3D系统的优势。
在此测试或试验中,您可以将多个虚拟服务器、一个虚拟防御中心和一个虚拟设备部署在ESXi主机上,并通过虚拟防御中心管理部署工作,如下所示。
您必须允许虚拟设备上的感应连接以监控网络流量。
虚拟接口连接的虚拟交换机或该交换机上的端口组必须能够接收混杂模式流量。
这样,虚拟设备便能读取打算发往其他计算机或网络设备的数据包。
示例中,P端口组设置为可接收混杂模式流量。
请参阅第54页的配置虚拟设备感应接口。
虚拟设备管理连接属于更典型的非混杂模式连接。
虚拟防御中心可为虚拟设备提供命令和控制。
利用通过ESXi主机的网络接口卡(示例中的NIC2)实现的连接,您可以访问虚拟防御中心。
有关建立虚拟防御中心和虚拟设备管理连接的信息,请参阅第64页的使用脚本配置虚拟防御中心网络设置和第59页的使用CLI设置虚拟设备。
5.3版本 Sourcefire3D系统虚拟安装指南 42 部署虚拟设备VMware虚拟设备部署 第3章 使用远程办公室部署 虚拟设备是在有限的资源上监控远程办公室的一个理想方法。
您可以将虚拟设备部署在ESXi主机上,用以监控本地流量,如下所示。
您必须允许虚拟设备上的感应连接以监控网络流量。
为此,感应接口连接的虚拟交换机或该交换机上的端口组必须能够接收混杂模式流量。
这样,虚拟设备便能读取打算发往其他计算机或网络设备的数据包。
示例中,所有vSwitch3均设置为可接收混合模式流量。
VSwitch3也通过NIC3连接至SPAN端口,监控通过远程办公室交换机的流量请参阅第54页的配置虚拟设备感应接口。
虚拟设备必须由防御中心进行管理。
利用通过ESXi主机的网络接口卡(示例中的NIC2)实现的连接,您可以使用远程防御中心访问虚拟设备。
将设备部署在不同的地理位置时,必须采取预防措施,将设备与不受保护的网络隔离,来确保设备和数据流的安全。
您可以通过VPN或其他安全隧道协议传输来自设备的数据流。
有关建立虚拟设备管理连接的信息,请参阅第59页的使用CLI设置虚拟设备。
5.3版本 Sourcefire3D系统虚拟安装指南 43 第4章 安装虚拟设备 5.3版本 Sourcefire在其支持网站上以压缩存档文件形式(.tar.gz)提供适用VMwareESXi主机环境的打包虚拟设备。
Sourcefire虚拟设备被打包为带有第7版虚拟硬件的虚拟机。
您可以通过虚拟基础设施(VI)或ESXi开放虚拟格式(OVF)模板部署虚拟设备: •使用VIOVF模板部署虚拟设备时,您可以使用部署中的设置向导配置Sourcefire所需的设置(例如,管理员帐户密码和允许设备在网络上进行通信的设置)。
您必须将虚拟设备部署至一个管理平台,此平台可以是VMwarevCloudDirector或VMwarevCenter。
•使用ESXiOVF模板部署虚拟设备时,您必须在安装之后使用虚拟设备的VMware控制台上的命令行界面(CLI)来配置设置。
您可以将虚拟设备部署至一个管理平台(VMwarevCloudDirector或VMwarevCenter),也可以将虚拟设备部署为一个独立设备。
重要!Sourcefire虚拟设备的VMware快照功能不受支持。
请按本章的指示下载、安装和配置Sourcefire虚拟设备。
有关创建虚拟主机环境的帮助信息,请参阅VMwareESXi文档。
按照以下步骤安装和配置虚拟设备后,将虚拟设备接通电源,进行初始化并按接下来的章节开始初始设置。
有关卸载虚拟设备的信息,请参阅第55页的卸载虚拟设备。
Sourcefire3D系统虚拟安装指南 44 安装虚拟设备获取安装文件 第4章 要安装和部署Sourcefire虚拟设备,请执行以下操作:
1.确保规划的部署符合第8页的操作环境先决条件中描述的先决条件。
2.从支持网站获取正确的存档文件,将这些文件复制到一个适当的存储介质,然后进行解压缩;请参阅第45页的获取安装文件。
3.使用VMwarevCloudDirector网络门户或vSphere客户端安装虚拟设备,但不要接通电源;请参阅第47页的安装虚拟设备。
4.确认和调整网络、硬件和内存设置;请参阅第53页的安装后更新重要设置。
5.确保虚拟设备上的感应接口已正确连接到ESXi主机虚拟交换机;请参阅第54页的配置虚拟设备感应接口。
获取安装文件 Sourcefire提供了安装虚拟设备所需的压缩存档文件(.tar.gz):一个用于防御中心,一个用于设备。
每个存档都包含下列文件: •文件名中包含-ESXi-的开放虚拟格式(.ovf)模板•文件名中包含-VI-的开放虚拟格式(.ovf)模板•文件名中包含-ESXi-的清单文件(.mf)•文件名中包含-VI-的清单文件(.mf)•虚拟机磁盘格式(.vmdk)安装虚拟设备之前,请从Sourcefire支持网站获取正确的存档文件。
Sourcefire建议您始终使用最新的数据包。
虚拟设备数据包通常与系统硬件的主版本(例如,5.2或5.3)相关联。
要获取虚拟设备存档文件,请执行以下操作:
1.使用支持帐户的用户名和密码,登录Sourcefire支持网站 (/)。
2.单击Downloads,选择显示页面上的3DSystem选项卡,然后点击您想要安装的系统软件的主版本。
例如,若要下载5.3版本存档文件,请点击Downloads>3DSystem>5.3。
3.使用以下命名惯例,查找要下载的虚拟设备或虚拟防御中心的存档文件:Sourcefire_3D_Device_Virtual64_VMware-
X.X.X-xxx.tar.gzSourcefire_Defense_Center_Virtual64_VMware-
X.X.X-xxx.tar.gz 其中,
X.X.X-xxx表示要下载的存档文件的版本和内部版本号。
可点击页面左侧的其中一条链接查看页面的相应部分。
例如,点击5.3VirtualAppliances,查看5.3版本的Sourcefire3D系统的存档文件。
5.3版本 Sourcefire3D系统虚拟安装指南 45 安装虚拟设备获取安装文件 第4章
4.点击要下载的档案。
文件将开始下载。
提示!在支持网站登录时,Sourcefire建议您为虚拟设备下载所有可用更新,以便在将虚拟设备安装到主版本后更新系统软件。
应当始终运行设备支持的最新版本的系统软件。
对于防御中心,您还需下载所有新的入侵规则和漏洞数据库(VDB)更新。
5.将存档文件复制至可以接入正在运行vSphere客户端或VMwarevCloudDirector网络门户的工作站或服务器的位置。
警告!请勿通过邮件传输存档文件;否则,文件会被损坏。
6.使用您偏好的工具解压缩存档文件,然后提取安装文件。
适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-
X.X.X-xxx-disk1.vmdkSourcefire_3D_Device_Virtual64_VMware-ESXi-
X.X.X-xxx.ovfSourcefire_3D_Device_Virtual64_VMware-ESXi-
X.X.X-xxx.mfSourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.mf适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-
X.X.X-xxxdisk1.vmdkSourcefire_Defense_Center_Virtual64_VMware-ESXi-
X.X.Xxxx.ovfSourcefire_Defense_Center_Virtual64_VMware-ESXi-
X.X.Xxxx.mfSourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.X-xxx.mf其中,
X.X.X-xxx表示已下载存档文件的版本和内部版本号。
请务必将所有文件都保存在同一目录下。
7.接下来安装虚拟设备,以部署虚拟设备。
5.3版本 Sourcefire3D系统虚拟安装指南 46 安装虚拟设备安装虚拟设备 第4章 安装虚拟设备 要安装虚拟设备,请使用平台接口(VMwarevCloudDirector网络门户或vSphere客户端)将OVF(VI或ESXi)模板部署至一个管理平台(VMwarevCloudDirector或VMwarevCenter)。
•如果使用VIOVF模板部署虚拟设备,您可以在安装过程中配置Sourcefire所需的设置。
必须使用VMwarevCloudDirector或VMwarevCenter管理此虚拟设备。
•如果使用ESXiOVF模板部署虚拟设备,您必须在安装之后配置Sourcefire所需的设置。
可以使用VMwarevCloudDirector或VMwarevCenter管理此虚拟设备,或者将其用作独立设备。
确保规划的部署符合第8页的操作环境先决条件中描述的先决条件并下载所需的存档文件后,请使用VMwarevCloudDirector网络门户或vSphere客户端安装虚拟设备。
您可以使用下列文件来安装虚拟设备: •适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_Defense_Center_Virtual64_VMware-ESXi-
X.X.Xxxx.ovf •适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_3D_Device_Virtual64_VMware-ESXi-
X.X.X-xxx.ovf 其中,
X.X.X-xxx表示要使用的文件的版本和内部版本号。
下表列出了部署所需的信息: VMwareOVF模板设置 操作 导入/部署OVF模板浏览至您在上一步骤下载的OVF模板以备使用。
OVF模板详细信息 确认您正在安装的设备(虚拟防御中心或虚拟设备)和部署选项(VI或ESXi)。
名称和位置 为虚拟设备输入一个具有唯一性且有意义的名称,并为设备选择库存库位。
主机/集群 选择在其上部署设备的主机或集群(仅适用于虚拟设备)。
5.3版本 Sourcefire3D系统虚拟安装指南 47 安装虚拟设备安装虚拟设备 第4章 VMwareOVF模板(续) 设置 操作 磁盘格式 选择存储虚拟磁盘的格式:密集配置延迟置零、密集配置快速置零或精简配置。
网络映射 为虚拟设备选择管理接口。
如果使用VIOVF模板部署虚拟设备,您可以在安装流程中为虚拟防御中心执行基本设置,为虚拟设备执行完整的初始设置。
您可以指定︰ •管理员帐户的新密码•网络设置,使设备可以在管理网络上进行通信•初始检测模式(仅适用于虚拟设备)•管理防御中心(仅适用于虚拟设备)如果您使用ESXiOVF模板部署虚拟设备或者选择不使用设置向导进行配置,则必须使用VMware控制台为虚拟设备执行初始设置。
关于执行初始设置的详细信息,包括关于指定哪些配置的指南,请参阅第57页的设置虚拟设备。
请使用以下方案之一安装虚拟设备:•第48页的使用VMwarevCloudDirector网络门户安装虚拟设备说明如何将虚拟设备部署至VMwarevCloudDirector。
•第51页的使用vSphere客户端安装虚拟设备说明如何将虚拟设备部署至VMwarevCenter。
要了解网络设置和检测模式,请参阅第59页的使用CLI设置虚拟设备和第63页的设置虚拟防御中心。
使用VMwarevCloudDirector网络门户安装虚拟设备 您可以按照以下步骤,使用VMwarevCloudDirector网络门户部署虚拟设备: •创建公司和目录,以将vApp模板包含在内。
有关详细信息,请参阅《VMwarevCloudDirector用户指南》。
•将Sourcefire3D系统虚拟设备OVF文件包作为vApp模板上传到目录中。
有关详细信息,请参阅第49页的上传虚拟设备OVF文件包。
•使用vApp模板创建虚拟设备。
有关详细信息,请参阅第49页的使用vApp模板。
5.3版本 Sourcefire3D系统虚拟安装指南 48 安装虚拟设备安装虚拟设备 第4章 上传虚拟设备OVF文件包 您可以将以下OVF文件包上传至VMwarevCloudDirector公司目录: •适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.Xxxx.ovf •适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovf 其中,
X.X.X-xxx表示要上传的OVF文件包的版本和内部版本号。
要上传虚拟设备OVF文件包,请执行以下操作:
1.在VMwarevCloudDirector网络门户上,选择Catalogs>Organization>vAppTemplates,其中Organization是您想要包含vVpp模板的公司的名称。
2.在vAppTemplates媒体选项卡上,点击上传图标()。
系统将显UploadOVFpackageasavAppTemplate弹出窗口。
3.在OVF文件包字段中,输入OVF文件包的位置,或者点击Browse浏览至OVF文件包。
•适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.Xxxx.ovf•适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovf其中,
X.X.X-xxx表示要上传的OVF文件包的版本和内部版本号。
4.输入OVF文件包的名称或者描述。
5.从下拉列表中,选择虚拟数据中心、存储配置文件和包含vApp数据包的目录。
6.点击Upload,将OVF文件包作为vApp模板上传至目录。
OVF文件包上传至贵公司的目录。
7.接下来使用vApp模板,以从vApp模板创建虚拟设备。
使用vApp模板 您可以使用vApp模板创建虚拟设备,在使用设置向导安装时您可以配置Sourcefire所需的设置。
在向导的每个页面上指定设置之后,点击Next继续。
为方便起见,您可以在向导的最后页面确认设置,然后完成此步骤。
5.3版本 Sourcefire3D系统虚拟安装指南 49 安装虚拟设备安装虚拟设备 第4章 要使用vApp模板创建虚拟设备,请执行以下操作:
1.在VMwarevCloudDirector网络门户上,选择MyCloud>vApps。
2.在vApps媒体选项卡上,点击添加图标(),从目录添加vApp。
系统将显示AddvAppfromCatalog弹出窗口。
3.点击模板菜单栏上的AllTemplates。
系统将显示所有可用的vApp模板列表。
4.选择要添加的vApp模板,显示虚拟设备描述。
•适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.Xxxx.ovf•适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovf其中,
X.X.X-xxx表示存档文件的版本和内部版本号。
系统将显示EndUserLicenseAgreement(EULA)。
5.阅读并接受EULA。
系统将显示NamethisvApp屏幕。
6.输入vApp的名称或者描述。
系统将显示ConfigureResources屏幕。
7.在ConfigureResources屏幕上,选择虚拟数据库,输入计算机名称(或使用默认计算机名称),然后选择存储配置文件。
系统将显示NetworkMapping屏幕。
8.选择外部、管理和内部来源的目标以及IP分配,将OVF模板中使用的网络映射至库存中的网络。
系统将显示CustomProperties屏幕。
9.或者,在CustomProperties屏幕上,在设置向导上输入Sourcefire所需的设置,对设备进行初始设置。
如果现在不进行初始设置,您可以稍后按照第57页的设置虚拟设备中的说明来设置。
系统将显示ReadytoComplete屏幕,其中显示了虚拟设备的配置。
10.确认设置,然后点击Finish。
重要!请勿为虚拟设备启用Poweronafterdeployment选项。
您必须映射感应接口,并确保将这些接口设置为在接通设备电源之前连接。
有关详细信息,请参阅第58页的初始化虚拟设备。
11.继续执行第53页的安装后更新重要设置。
5.3版本 Sourcefire3D系统虚拟安装指南 50 安装虚拟设备安装虚拟设备 第4章 使用vSphere客户端安装虚拟设备 您可以使用vSphere客户端,通过VIOVF或ESXiOVF模板部署虚拟设备: •如果使用VIOVF模板部署虚拟设备,设备必须由VMwarevCenter或VMwarevCloudDirector管理。
•如果使用ESXiOVF模板部署虚拟设备,设备可以由VMwarevCenter或VMwarevCloudDirector管理,或被部署至一个独立主机。
无论使用哪种部署,您都必须在安装之后配置Sourcefire所需的设置。
在向导的每个页面上指定设置之后,点击Next继续。
为方便起见,您可以在向导的最后页面确认设置,然后完成此步骤。
要使用vSphere客户端安装虚拟设备,请执行以下操作:
1.使用vSphere客户端,点击File>DeployOVFTemplate,部署先前下载的OVF模板文件。
系统将显示Source屏幕。
您可以在此屏幕浏览下拉列表,然后找到要部署的模板。
2.从下拉列表选择要部署的OVF模板。
•适用于虚拟防御中心的文件:Sourcefire_Defense_Center_Virtual64_VMware-VI-
X.X.Xxxx.ovfSourcefire_Defense_Center_Virtual64_VMware-ESXi-
X.X.Xxxx.ovf •适用于虚拟设备的文件:Sourcefire_3D_Device_Virtual64_VMware-VI-
X.X.X-xxx.ovfSourcefire_3D_Device_Virtual64_VMware-ESXi-
X.X.Xxxx.ovf 其中,
X.X.X-xxx表示已下载存档文件的版本和内部版本号。
系统将显示OVFTemplateDetails屏幕。
3.确认已选择正确的虚拟设备。
•对于ESXiOVF模板:系统将显示NameandLocation屏幕。
•对于VIOVF模板:系统将显示EndUserLicenseAgreement(EULA)屏幕。
阅读并接受EULA。
系统将显示NameandLocation屏幕。
4.在文本字段键入虚拟设备的名称,选择在其部署设备的库存库位。
系统将显示Host/Cluster屏幕。
5.选择在其部署模板的主机或集群。
系统将显示SpecificHost屏幕。
5.3版本 Sourcefire3D系统虚拟安装指南 51 安装虚拟设备安装虚拟设备 第4章
6.在想要部署模板的集群中选择特定主机。
系统将显示Storage屏幕。
7.选择虚拟机的目标存储位置。
系统将显示DiskFormat屏幕。
8.从以下选项中选择想要存储虚拟磁盘的格式:•密集配置延迟置零•密集配置快速置零•精简配置 系统将显示NetworkMapping屏幕。
9.选择在其部署模板的网络。
•对于ESXiOVF模板:系统将显示ESXiFinish屏幕。
•对于VIOVF模板:系统将显示Properties屏幕。
为设备输入Sourcefire所需的设置,或者点击浏览,稍后完成设置,确认设置,然后点击Finish。
重要!请勿为虚拟设备启用Poweronafterdeployment选项。
您必须映射感应接口,并确保将这些接口设置为在接通设备电源之前连接。
有关详细信息,请参阅第58页的初始化虚拟设备。
10.安装完成后,关闭状态窗口。
11.继续执行安装后更新重要设置。
5.3版本 Sourcefire3D系统虚拟安装指南 52 安装虚拟设备安装后更新重要设置 第4章 安装后更新重要设置 安装虚拟设备后,您必须确认虚拟设备的硬件和内存设置都符合部署要求。
默认设置是运行系统软件的最低要求,不得降低。
然而,为了提高性能,您可以根据可用的资源来增加虚拟设备的内存和CPU数量。
下表列出了默认的设备设置。
默认虚拟设备设置 设置 默认 设置是否支持调整 内存 4GB 支持,对于一台虚拟设备,您必须分配: •4GB(最低) •5GB,用于添加基于类别和信誉的URL过滤 •6GB,用于添加大型动态源来执行安全情报过滤 •7GB,用于添加URL过滤和安全情报 虚拟CPU4 支持,最多可增至8个 硬盘有效容量 40GB(设备) 250GB(防御中心) 不支持 以下步骤说明了如何查看和调整虚拟设备的硬件和内存设置。
要查看虚拟设备设置,请执行以下操作:
1.右键单击新虚拟设备的名称,然后从上下文菜单选择EditSettings,或者在主窗口GettingStarted选项卡中点击Editvirtualmachinesettings。
系统将显示VirtualMachineProperties弹出窗口,其中显示了Hardware选项卡。
2.确保Memory、CPU和Harddisk1的设置不低于默认值,如第53页的默认虚拟设备设置中所述。
窗口左侧列出了设备的内存设置和虚拟CPU数量。
要查看硬盘配置容量,请点击Harddisk1。
声明:
该资讯来自于互联网网友发布,如有侵犯您的权益请联系我们。