Cisco Secure Firewall 200 威胁防御入门:防火墙设备管理器

PDF

配置网络设置和策略

Want to summarize with AI?

Log in

如何在 Secure Firewall 设备管理器中配置接口、安全区域、DHCP 和安全策略,使您的 Secure Firewall 200 符合网络设计和流量要求。


配置其他接口和 DHCP 服务器,并自定义安全策略。

过程

1.

如果要将交换机端口转换为防火墙接口,请选择设备 (Device),然后点击接口 (Interfaces) 摘要中的链接。

  1. 点击交换机端口的编辑图标 ()。

  2. 将模式从交换机端口 (Switch Port) 更改为已路由 (Routed)

    Figure 1. 更改模式
    更改模式
  3. 设置名称和 IP 地址。

    Figure 2. 编辑接口
  4. 点击确定 (OK)

2.

如果已配置新的防火墙接口,请选择对象 (Objects),然后选择安全区域 (Security Zones)

根据情况编辑或创建新区域,并将接口分配给该区域。每个接口都必须属于您为其配置策略的区域。

以下示例创建了一个新的 dmz_zone,然后将 dmz 接口分配给它。

Figure 3. 安全区域对象
3.

如果要让内部客户端使用 DHCP 从设备获取 IP 地址,请选择设备 (Device) > 系统设置 (System Settings) > DHCP 服务器 (DHCP Server),然后选择DHCP 服务器 (DHCP Server) 选项卡。

内部接口已经配置了 DHCP 服务器。

Figure 4. DHCP 服务器
4.

选择策略 (Policies),并为网络配置安全策略。

设备设置向导可使用信任规则在内部区域和外部区域之间实现流量流动。信任规则不会应用入侵策略。要使用入侵,请为规则指定“允许”操作。在连接外部接口时,该策略还包括所有接口的接口 PAT。

Figure 5. 默认安全策略

但是,如果在不同的区域都有接口,则需要访问控制规则来允许流量进出这些区域。

此外,您还可配置其他策略以提供附加服务,并对 NAT 和访问规则进行精细调整,以实现组织需要的结果。点击工具栏中的策略类型,即可配置以下策略:

  • SSL 解密 (SSL Decryption) - 如果要检查加密连接(例如 HTTPS)是否存在入侵、恶意软件等,则必须解密连接。使用 SSL 解密策略确定需要解密的连接。系统检查连接后,会将其重新加密。

  • 身份 (Identity) - 如果要将网络活动与各个用户相关联,或根据用户或用户组成员身份控制网络访问,请使用身份策略确定与给定源 IP 地址关联的用户。

  • 安全智能 (Security Intelligence) -(需要 IPS 许可证)使用安全智能策略快速丢弃进出列入黑名单的 IP 地址或 URL 的连接。将已知恶意站点列入黑名单后,在访问控制策略中即可无需考虑这些站点。思科提供定期更新的已知恶意地址和 URL 源,可使安全智能黑名单实现动态更新。使用情报源,无需通过编辑策略来添加或删除黑名单中的项目。

  • NAT (Network Address Translation) - 使用 NAT 策略将内部 IP 地址转换为外部可路由地址。

  • 访问控制 (Access Control) - 使用访问控制策略确定网络上允许的连接。您可以按安全区域、IP 地址、协议、端口、应用、URL、用户或用户组进行过滤。您还可以使用访问控制规则来应用入侵策略和文件(恶意软件)策略。使用此策略实施 URL 过滤。

  • 入侵 (Intrusion) - 使用入侵策略检测已知威胁。即使使用访问控制规则应用入侵策略,也仍可以编辑入侵策略,以选择性地启用或禁用特定的入侵规则。

以下示例显示了如何在访问控制策略中允许 inside_zone 和 dmz_zone 之间的流量。在此示例中,任何其他选项卡上均未设置任何选项,日志记录 (Logging) 除外,其中在连接结束时 (At End of Connection) 选项已被选中。

Figure 6. 访问控制策略
5.

选择设备 (Device),然后点击更新 (Updates) 组中的查看配置 (View Configuration),为系统数据库配置更新计划。

如果使用入侵策略,请为“规则”和“VDB”数据库设置定期更新。如果使用安全智能源,请为“规则”和“VDB”数据库设置更新计划。如果在任何安全策略中使用地理位置作为匹配条件,请为“规则”和“VDB”数据库设置更新计划。

6.

点击菜单中的部署按钮,然后点击立即部署按钮(即),将更改部署到设备。

只有将更改部署至设备,更改才会生效。