重新映像FireSIGHT管理中心或FirePOWER裝置後,需要完成幾個步驟以使系統完全正常運行並為入侵事件生成警報;例如安裝許可證、註冊裝置、應用健康策略、系統策略、訪問控制策略、入侵策略等。本檔案是《FireSIGHT系統安裝指南》的補充。
本指南假定您仔細閱讀了《FireSIGHT系統安裝指南》。
在FireSIGHT管理中心上,您必須通過登入到Web介面並在設定頁面上指定初始配置選項來完成設定過程,如下所述。在此頁面上,必須更改管理員密碼,還可以指定網路設定(如域和DNS伺服器)以及時間配置。
您可以選擇配置循環規則和地理位置更新以及自動備份。此時還可以安裝任何功能許可證。
在此頁面上,您還可以向FireSIGHT管理中心註冊裝置並指定檢測模式。在註冊過程中選擇的檢測模式和其他選項決定了系統建立的預設介面、內聯集和區域以及最初應用於受管裝置的策略。
如果在初始設定頁面期間未安裝許可證,可以通過以下步驟完成任務:
如果您沒有獲得許可證,請聯絡您帳戶的銷售代表。
系統策略指定FireSIGHT管理中心和受管裝置之間的身份驗證配置檔案和時間同步的配置。 要配置或應用系統策略,請導航到System > Local > System Policy。 提供了預設系統策略,但需要應用於任何受管裝置。
運行狀況策略用於配置受管裝置如何向FireSIGHT管理中心報告其運行狀況狀態。 要配置或應用運行狀況策略,請導航到Health > Health Policy。 提供了預設運行狀況策略,但需要應用到任何受管裝置。
如果在初始設定頁面期間未註冊裝置,請閱讀本文檔,瞭解有關如何向FireSIGHT管理中心註冊裝置的說明。
在裝置上使用任何功能許可證之前,您需要為每個受管裝置啟用該許可證。
為此裝置啟用所需的許可證,然後按一下儲存。
請注意右上角出現「You have unapplied changes(您有未應用的更改)」資訊。即使您導航離開裝置管理頁面,直到按一下Apply Changes按鈕,此警告仍保持活動狀態。
選擇被動介面配置或內聯介面配置。交換介面和路由介面不在本文的討論範圍之內。
必須分配名稱並定義要使用的基本策略。根據您的部署,您可以選擇啟用內聯時丟棄選項。定義要保護的網路,以減少誤報並提高系統效能。
按一下Create Policy將儲存設定並建立IPS策略。如果要對入侵策略進行任何修改,可以選擇Create and Edit Policy。
1.定位至策略>訪問控制。
2.按一下New Policy。
3.提供策略的名稱和說明。
4.選擇Intrusion Prevention作為訪問控制策略的Default Action。
5.最後選擇要應用訪問控制策略的目標裝置,然後按一下儲存。
6.為預設操作選擇入侵策略。
7.必須啟用連線日誌記錄才能生成連線事件。按一下Default Action右側的下拉選單。
8.選擇在連線的開始或結束處記錄連線。可在FireSIGHT管理中心、系統日誌位置或通過SNMP記錄事件。
9.按一下確定。請注意,日誌圖示的顏色已更改。
10.此時可以新增訪問控制規則。您可以使用的選項取決於已安裝的許可證型別。
11.完成更改後。按一下Save and Apply按鈕。 在按一下按鈕之前,您會看到一條消息,指出您的策略在右上角有未儲存的更改。
您可以選擇僅使用儲存更改,或按一下儲存並應用。如果您選擇後者,則會出現以下視窗。
12. Apply All會將訪問控制策略和任何關聯的入侵策略應用到目標裝置。
13.您可以按一下頁面頂部顯示的通知上的任務狀態連結,或通過導航至以下各項來監控任務的狀態:System > Monitoring > Task Status
14.按一下「任務狀態」連結以監視應用訪問控制策略的進度。
訪問控制策略應用完成後,您應該開始檢視連線事件,具體取決於流量入侵事件。
您還可以在系統上配置以下其他功能。有關實施的詳細資訊,請參閱《使用手冊》。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
09-Oct-2014 |
初始版本 |