关于 IPS 接口
本节介绍了 IPS 接口。
IPS 接口类型
仅 IPS 模式的接口将绕过许多防火墙检查,仅支持 IPS 安全策略。如果您有单独的防火墙来保护这些接口,并且不希望造成防火墙功能的开销,则可能需要实施仅限 IPS 的接口。
注 |
防火墙模式只影响常规的防火墙接口,而不影响仅 IPS 接口,如内联集或被动接口。仅 IPS 接口可以在两种防火墙模式下使用。 |
仅 IPS 接口可以部署为以下类型:
-
内嵌集,带有可选分路模式 - 内嵌集的作用类似于导线上的凹凸,并将两个接口绑定在一起插入到现有网络中。此功能使 FTD 可以安装在任何网络环境中,而无需配置相邻网络设备。内联接口无条件接收所有流量,但是,除非已明确丢弃,否则这些接口上接收的所有流量将在内联集外重传。
在分流模式下,FTD 会进行内联部署,但网络流量不受干扰。相反,FTD 会复制每个数据包,这样它就可以对数据包进行分析。请注意,这些类型的规则在触发时会生成入侵事件,而且入侵事件表视图显示了触发数据包会在内联部署中被丢弃。在已部署内联的 FTD 上使用分流模式有很多优点。例如,您可以设置 FTD 和网络之间的布线,就像 FTD 是内联,并分析 FTD 生成的多种入侵事件。根据结果,您可以修改入侵策略,并添加最好地保护您的网络却不影响有效性的丢弃规则。准备部署 FTD 内联时,您可以禁用分流模式,并开始丢弃可疑流量,而无需重新配置 FTD 和网络之间的走线。
注
分流模式显著影响 FTD 性能,具体取决于流量。
注
内嵌集可能是您所熟悉的“透明内联集”,但内联接口类型与透明防火墙模式或防火墙类型接口无关。
-
被动或 ERSPAN 被动 - 被动接口使用交换机 SPAN 或镜像端口监控网络中流动的流量。SPAN 或镜像端口允许从交换机的其他端口复制流量。此功能可以提供网络内的系统可视性,而不会影响网络流量。如果在被动部署中配置 FTD,FTD 将无法执行某些操作,例如,阻止流量或流量整形。被动接口无条件接收所有流量,这些接口不会重传接收到的流量。封装远程交换端口分析器 (ERSPAN) 接口允许您监控分布于多个交换机的源端口流量,并使用 GRE 来封装流量。仅当 FTD 处于路由防火墙模式时,才允许 ERSPAN 接口。
注
由于混杂模式限制,某些使用 SR-IOV 驱动程序的 Intel 网络适配器(例如 Intel X710 或 82599)不支持在 NGFWv 上将 SR-IOV 接口用作被动接口。在此情况下,请使用支持此功能的网络适配器。有关英特尔网络适配器的详细信息,请参阅英特尔以太网产品。
关于内联集的硬件旁路
对于支持的型号上的某些接口模块(请参阅内联集的要求和必备条件),您可以启用 硬件旁路 功能。硬件旁路 可确保流量在停电期间继续在内联接口对之间流动。在软件或硬件发生故障时,此功能可用于维持网络连接性。
硬件旁路触发器
硬件旁路可以在以下情况下触发:
-
威胁防御崩溃
-
威胁防御 重新启动
-
安全模块重新启动
-
机箱崩溃
-
机箱重新启动或升级
-
手动触发
-
机箱断电
-
安全模块断电
注 |
硬件旁路适用于计划外/意外故障情况,并且在计划的软件升级期间不会自动触发。硬件旁路仅在计划的升级过程结束时,当 威胁防御 应用重新启动时才会启用。 |
硬件旁路切换
当从正常操作切换到硬件旁路或从硬件旁路切换回正常操作时,流量可能会中断几秒钟。中断时长可能受许多因素影响;例如,铜缆端口自动协商、光纤链路合作伙伴的行为(比如如何处理链路故障和去抖时间)、生成树协议汇聚、动态路由协议汇聚等等。在此期间,您可能会遇到连接中断。
还有可能在恢复正常运行后分析连接中游时由于应用识别错误而遇到连接中断。
Snort 故障开启与硬件旁路
对于不是分路模式下的内联集的内联集,您可以使用“Snort 故障开启”选项,在不检查 Snort 进程何时繁忙或关闭的情况下丢弃流量或允许流量通过。除了分路模式下的内联集,其他所有内联集上都支持“Snort 故障开启”,而不仅仅是支持硬件旁路的接口。
硬件旁路功能允许流量在硬件故障(包括完全断电以及有限的一些软件故障)期间流动。触发 Snort 故障开启的软件故障不会触发硬件旁路。
硬件旁路 状态
如果系统通电,则旁路 LED 指示灯指示硬件旁路状态。请参阅 Firepower 机箱硬件安装指南中有关 LED 的说明。