此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。
思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。
以下主题提供有关系统安全、互联网接入和通信端口的信息:
为了保护Cisco Secure Firewall Management Center,应将其安装在受保护的内部网络中。虽然 管理中心已配置为仅拥有必需的服务和可用端口,但必须确保无法从防火墙外部攻击它(或任何受管设备)。
如果 管理中心及其受管设备位于同一个网络,可以将设备的管理接口连接到与 管理中心相同的受保护内部网络。这样,就可以安全地从 管理中心控制设备。您还可以配置多个管理接口,使 管理中心能够管理和隔离来自其他网络上设备的流量。
无论如何部署设备,内部设备通信将始终加密。但是,您仍需采取措施,确保设备之间的通信不会出现中断、阻塞或受到篡改;例如,遭受分布式拒绝服务 (DDoS) 或中间人攻击。
管理中心 与思科云中的资源进行通信,用于实现以下功能:
高级恶意软件防护
默认配置的是公共云;要进行更改,请参阅 《Cisco Secure Firewall Management Center 设备配置指南》中的 更改 AMP 选项 。
URL 筛选
有关详细信息,请参阅 URL 过滤 一章。
集成 安全分析和日志记录 (SaaS)
将 SecureX 和 SecureX 威胁响应 集成
有关详细信息,请参阅以下链接的集成文档:
主动支持功能
有关信息,请参阅配置思科支持诊断注册。
思科成功网络
有关信息,请参阅配置思科成功网络注册。
Cisco Umbrella 连接
有关信息,请参阅《Cisco Secure Firewall Management Center 设备配置指南》中的 DNS 策略。
默认情况下,Firepower 设备配置为通过 443/tcp (HTTPS) 端口和 80/tcp (HTTP) 端口连接到互联网。如果您不希望设备直接接入互联网,则可以配置代理服务器。
大多数情况下,它是可接入互联网的 Cisco Secure Firewall Management Center。然而,有时受管设备也可以接入互联网。例如,如果恶意软件防护配置使用动态分析,则受管设备会将文件直接提交到 Secure Secure Malware Analytics 云。或者,您也可以将设备同步到外部 NTP 服务器。
此外,除非您禁用 Web 分析跟踪,否则浏览器可能会与 Google Web 分析服务器通信,以向思科发送非个人可识别的使用数据。
 提示 |
如果您使用的是恶意软件防护 或面向终端的 AMP,您的位置可确定 管理中心 访问哪些 AMP 云资源。正确 AMP 操作所需的服务器地址故障排除技术说明不仅列出了 Firepower 设备所需的互联网资源(包括静态 IP 地址),而且还列出了连接器和私有云设备等思科 AMP 组件所需的互联网资源。 |
高可用性对中的两个 管理中心 均应可以接入互联网。根据功能,有时两个对等体均可以接入互联网,而有时只有活动对等体才可以接入互联网。
| 特性 | 原因 |
管理中心 高可用性 |
Resource |
|---|---|---|---|
|
恶意软件防护 |
恶意软件云查找。 |
两个对等体均执行查找。 |
请参阅此表上方的重要提示! cloud-sa.amp.cisco.com cloud-sa.eu.amp.cisco.com cloud-sa.apjc.amp.cisco.com
cloud-sa-589592150.us-east-1. elb.amazonaws.com |
|
下载签名更新以进行文件预分类和本地恶意软件分析。 |
活动对等体执行下载,并同步到备用对等体。 |
updates.vrt.sourcefire.com amp.updates.vrt.sourcefire.com |
|
|
提交文件以进行动态分析(受管设备)。 查询动态分析结果 (管理中心)。 |
两个对等体均查询动态分析报告。 |
fmc.api.threatgrid.com fmc.api.threatgrid.eu |
|
|
面向终端的 AMP 集成 |
从 AMP 云接收由面向终端的 AMP 检测到的恶意软件事件。 显示由面向终端的 AMP 中的 Firepower 系统检测到的恶意软件事件。 使用在面向终端的 AMP 中创建的集中式文件阻止名单和允许名单覆盖 AMP 云中的处置情况。 |
两个对等体均接收事件。 您还必须在两个对等体上配置云连接(配置不会同步)。 |
请参阅 https://www.cisco.com/c/en/us/support/docs/security/sourcefire-amp-appliances/118121-technote-sourcefire-00.html#anc5中的 Firepower 信息。 也请参阅此表上方的重要提示! |
|
安全情报 |
下载安全情报源。 |
活动对等体执行下载,并同步到备用对等体。 |
intelligence.sourcefire.com |
|
URL 筛选 |
下载 URL 类别和信誉数据。 手动查询(查找)URL 类别和信誉数据。 查询未分类的 URL。 |
活动 FMC 执行下载,并同步到备用。 |
https://updates-talos.sco.cisco.com IPV4:
IPv6
|
|
思科智能许可 |
与思科智能软件管理器通信。 |
活动对等体执行通信。 |
tools.cisco.com:443 www.cisco.com |
|
思科成功网络 |
传输使用信息和统计信息。 |
活动对等体执行通信。 |
api-sse.cisco.com:8989 https://dex.sse.itd.cisco.com https://dex.eu.sse.itd.cisco.com |
|
思科支持诊断结果 |
接受授权请求并传输使用信息和统计信息。 |
活动对等体执行通信。 |
api-sse.cisco.com:8989 |
|
系统更新 |
直接将更新从思科下载到 管理中心:
|
更新活动对等体上的入侵规则、VDB 和 GeoDB,然后再同步到备用对等体。 在每个对等体上单独升级系统软件。请参阅《Cisco Firepower 管理中心升级指南》,版本 6.0–7.0。 |
cisco.com sourcefire.com |
|
Cisco 威胁响应集成 |
请从 https://www.cisco.com/c/en/us/support/security/defense-center/products-installation-and-configuration-guides-list.html参阅 《Firepower 和 Cisco 威胁响应集成指南》。 |
||
|
时间同步 |
同步部署中的时间。 代理服务器不支持。 |
使用外部 NTP 服务器的任何设备均必须接入互联网。 |
0.sourcefire.pool.ntp.org 1.sourcefire.pool.ntp.org 2.sourcefire.pool.ntp.org 3.sourcefire.pool.ntp.org |
|
RSS 源 |
在控制面板上显示思科威胁研究博客。 |
显示 RSS 源的任何设备均必须接入互联网。 |
blogs.cisco.com/talos cloud.google.com |
|
Whois |
请求外部主机的 whois 信息。 代理服务器不支持。 |
请求 whois 信息的任何设备均必须接入互联网。 |
whois 客户端会尝试猜出要查询的正确服务器。如果猜不出,则使用:
|
管理中心 和托管设备在 8305/tcp 端口上使用双向、SSL 加密的通信通道进行通信。此端口 必须 保持开放,以进行基本通信。
其他端口允许安全管理,并访问特定功能所需的外部资源。一般来说,除非启用或配置相关功能,否则,功能相关的端口会保持关闭。在了解此操作对部署的影响之前,请勿更改或关闭已打开的端口。
| 端口 | 协议/功能 | 平台 | 方向 | 详细信息 |
|---|---|---|---|---|
|
22/tcp |
SSH |
管理中心 威胁防御 |
入站 |
与设备的安全远程连接。 |
|
53/tcp 53/udp |
DNS |
发送 |
DNS |
|
|
67/udp 68/udp |
DHCP |
发送 |
DHCP |
|
|
123/udp |
NTP |
发送 |
同步时间。 |
|
|
161/udp |
SNMP |
管理中心 威胁防御 |
入站 |
允许通过 SNMP 轮询访问 MIB。 |
|
162/udp |
SNMP |
发送 |
发送 SNMP 警报至远程陷阱服务器。 |
|
|
389/tcp 636/tcp |
LDAP |
发送 |
与 LDAP 服务器通信以进行外部身份验证。 获取检测到的 LDAP 用户元数据(仅限 管理中心)。 可配置。 |
|
|
443/tcp |
HTTPS |
管理中心 |
接收 |
访问 Web 界面。 |
|
443/tcp |
远程接入 VPN (SSL/IPSec) |
威胁防御 |
入站 |
允许远程用户与您的网络建立安全的 VPN 连接。 |
|
500/udp 4500/udp |
远程接入 VPN (IKEv2) |
威胁防御 |
入站 |
允许远程用户与您的网络建立安全的 VPN 连接。 |
|
443/tcp |
HTTPS |
管理中心 威胁防御 |
接收 |
使用 Firepower REST API(包括思科终端服务 (TS) 代理)与第三方集成产品通信。 |
|
443/tcp |
HTTPS |
发送 |
发送和接收来自互联网的数据。 有关详细信息,请参阅互联网接入要求。 |
|
|
443 |
HTTPS |
管理中心 |
both |
与面向终端的 AMP 集成 |
|
514/udp |
系统日志(警报) |
发送 |
向远程系统日志服务器发送警报。 |
|
|
623/udp |
SOL/LOM |
管理中心 |
入站 |
使用 LAN 上串行 (SOL) 连接执行无人值守管理 (LOM)。 |
|
885/tcp |
强制网络门户 |
威胁防御 |
入站 |
与强制网络门户身份源通信。 |
|
1500/tcp 2000/tcp |
数据库访问 |
管理中心 |
入站 |
允许第三方客户端对事件数据库进行只读访问。 |
|
1812/udp 1813/udp |
RADIUS |
发送 |
与 RADIUS 服务器通信以进行外部身份验证和记账。 可配置。 |
|
|
8302/tcp |
eStreamer |
管理中心 |
入站 |
与 eStreamer 客户端通信。 |
|
8305/tcp |
设备通信 |
双向 |
在同一部署中的设备之间安全地进行通信。 可配置。如果更改此端口,必须为部署中的所有设备更改此端口。建议保留默认值。 |
|
|
8307/tcp |
主机输入客户端 |
管理中心 |
入站 |
与主机输入客户端通信。 |
|
8989/tcp |
思科支持诊断结果 |
两者 |
接受授权请求并传输使用信息和统计信息。 |
反馈