Network Security Platform 7.0 Device Administration Guide - McAfee

设备管理手册 

McAfee ® Network Security Platform 7.0

版权 

Copyright © 2012 McAfee, Inc. 未经许可不得复制。 

商标特性 

McAfee、迈克菲、McAfee 徽标、McAfee Active Protection、McAfee AppPrism、McAfee Artemis、McAfee CleanBoot、McAfee DeepSAFE、ePolicy Orchestrator、McAfee 

ePO、McAfee EMM、McAfee Enterprise Mobility Management、Foundscore、Foundstone、McAfee NetPrism、McAfee Policy Enforcer、Policy Lab、McAfee QuickClean、 

Safe Eyes、McAfee SECURE、SecureOS、McAfee Shredder、SiteAdvisor、SmartFilter、McAfee Stinger、McAfee Total Protection、TrustedSource、VirusScan、 

WaveSecure 和 WormTraq 是 McAfee, Inc. 或其子公司在美国和其他国家或地区的商标或注册商标。其他名称和商标可能已声明为其他公司的财产。 

许可信息 

许可协议 

致全体用户:请仔细阅读与您所购买的许可相关的法律协议,以了解使用许可软件的一般条款和条件。如果您不清楚所购买的许可属于哪一类,请查看软件包装盒中或购买产品 

时单独提供的销售文档以及其他相关的许可授权或订单文档,这些文档既可以是小册子、产品光盘上的文件,也可以是软件包下载网站提供的文件。如果您不接受该协议规定的 

所有条款和条件,请勿安装本软件。根据情况,您可以将产品退回 McAfee, Inc. 或原购买处以获得全额退款。 

2 McAfee ® Network Security Platform 7.0 设备管理手册

目录 

前言 7 

关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 

查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 

1 关于 Network Security Sensor 9 

Sensor 功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 

Sensor 平台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10 

确定 Sensor 的部署位置和工作模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 

安装 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 

建立 Sensor 与 Manager 之间的通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 

查看和处理由 Network Security Platform 生成的数据 . . . . . . . . . . . . . . . . . . . . . . 14 

通过 Manager 配置部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 

更新特征码和软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 

优化部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 

2 检查部署前的注意事项 19 

您的网络规模如何? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

您的网络与外部网/Internet 之间有多少个接入点? . . . . . . . . . . . . . . . . . . . . . . . 19 

网络内有哪些重要服务器需要保护? . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19 

网络拓朴的复杂程度如何? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 

网络上通常有多少流量经过? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 

安全操作位于何处? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 

Sensor 应部署在哪些地方? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 

3 了解 Sensor 部署模式 25 

灵活的部署选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

多端口 Sensor 部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

支持的部署模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25 

全双工和半双工监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 

以串联模式部署 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 

失效打开和失效关闭 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28 

以 Tap 模式部署 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29 

以内部 Tap 模式部署带有 FE 端口的 Sensor . . . . . . . . . . . . . . . . . . . . . . 30 

以外部 Tap 模式部署带有 GE 端口的 Sensor . . . . . . . . . . . . . . . . . . . . . . 31 

从 Tap 模式切换到串联模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 

SPAN 端口和集线器监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32 

SPAN 端口和集线器监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 

高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 

了解 Network Security Platform 的故障转移功能 . . . . . . . . . . . . . . . . . . . . . 33 

接口组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35 

4 使用 Manager 配置设备 37 

使用向导安装 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 

McAfee ® Network Security Platform 7.0 设备管理手册 3

目录 

添加和配置 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 

设备列表节点可能的操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45 

设备页中可用的选项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46 

更新设备配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 

更新所有设备上最新的软件映像 . . . . . . . . . . . . . . . . . . . . . . . . . . 49 

为脱机设备下载软件更新文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . 50 

管理故障转移对 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57 

导入设备许可证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58 

管理远程访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 

添加设备登录横幅 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 

使用 TACACS+ 管理设备访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 

管理 SNMPv3 用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63 

管理允许的 NMS IP 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65 

使用 Sensor MIB 文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 

配置和监控设备性能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67 

查看设备性能设置摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68 

启用设备性能监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 

配置指标收集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73 

设置阈值 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76 

自定义指标显示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 

监控设备性能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 

生成设备性能报告 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 

捕获数据包 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 104 

指定用于 Internet 连接的代理服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . 112 

5 为每台设备管理配置 113 

配置和管理设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 

查看选定设备的详细信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 

配置设备监控端口和响应端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 

更新 Sensor 或 NTBA Appliance 的配置 . . . . . . . . . . . . . . . . . . . . . . . 134 

为 Sensor 或 NTBA Appliance 更新软件 . . . . . . . . . . . . . . . . . . . . . . . 135 

如何重新启动设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136 

关闭 Sensor 或 NTBA Appliance . . . . . . . . . . . . . . . . . . . . . . . . . . 137 

对设备配置进行故障排除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 

上载诊断跟踪 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137 

启用 2 层设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 

管理设备访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 

配置 TACACS+ 身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 

管理 SNMPv3 用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 

管理 NMS IP 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142 

配置和监控设备性能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 

查看设备性能设置摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 

启用设备性能监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 

配置指标收集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 

设置阈值 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 148 

自定义指标显示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 152 

6 以串联模式部署 Sensor 153 

串联运行的优点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 

串联部署演练 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 

确定高可用性策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 

故障转移或高可用性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 

失效打开或失效关闭功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 

Sensor 的安装和电缆连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155 

快速以太网监控端口电缆连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 

千兆位以太网监控端口电缆连接 . . . . . . . . . . . . . . . . . . . . . . . . . . 156 


故障转移对电缆连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 

配置 Sensor 监控端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157 

故障转移:将两个 Sensor 配置为串联模式 . . . . . . . . . . . . . . . . . . . . . . . . . 159 

创建故障转移对 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 

7 配置 Sensor 实现高可用性 161 

Network Security Platform 故障转移体系结构 . . . . . . . . . . . . . . . . . . . . . . . . 161 

Sensor 故障转移实现 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 

了解当前的网络拓扑 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 

双路径 - 主动/被动 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 

双路径 - 主动/主动 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 

单路径 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162 

确定最佳 Sensor 位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 163 

单路径上的冗余 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 

防止出现重复警报 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 

摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 

配置各 Sensor 的端口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167 

潜在陷阱 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168 

对于 GE 端口的失效打开功能的说明 . . . . . . . . . . . . . . . . . . . . . . . . 169 

关于主动 - 被动故障转移的警告 . . . . . . . . . . . . . . . . . . . . . . . . . . 169 

连接器的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 

实际安装 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 

实际检查 - 非对称路由 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 

定义 Network Security Platform 故障转移对 . . . . . . . . . . . . . . . . . . . . . . . . . 174 

检测信号电缆连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 176 

初始提示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 

GBIC 电缆连接 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 

电缆连接指南和示例 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 

TX GBIC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179 

通过网络设备进行故障转移电缆连接 . . . . . . . . . . . . . . . . . . . . . . . . 179 

检验故障转移配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 

确认 Sensor 通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 

测试故障转移设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 

Sensor 高可用性的网络方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 

配置为负载平衡的 I-4010 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . 181 

主动/主动 HA 模式的 I-4010 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . 182 

主动/被动 HA 模式的 I-4010 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . 182 

8 了解虚拟化 183 

无虚拟化的网络方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 

端口与接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 

有虚拟化的网络方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 

接口类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 184 

专用接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 

VLAN 接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 

桥接 VLAN 接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 

CIDR 接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196 

如何应用策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 

背景 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 

串联模式和专用接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

子接口 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

SPAN 或 Tap 模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203 

VLAN、桥接 VLAN 和 CIDR 接口的常见用法 . . . . . . . . . . . . . . . . . . . . . . . . 204 

接口、VLAN 和 CIDR 限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205 

McAfee ® Network Security Platform 7.0 设备管理手册 5 

目录

目录 

9 故障排除 207 

如何验证流量是否流过 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

如何验证故障转移对的创建是否成功 . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

show . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 

show failover-status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

downloadstatus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

更换 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

更换失效的 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208 

更换 Sensor 时维护 SSL 证书信息 . . . . . . . . . . . . . . . . . . . . . . . . . 208 

从 Manager 删除 Sensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 

将删除的 Sensor 添加回 Manager . . . . . . . . . . . . . . . . . . . . . . . . . 210 

索引 213 


前言 

本手册将提供配置、使用和维护 McAfee 产品所需的信息。 

目录 

关于本手册 

查找产品文档 

关于本手册下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。 

读者 

McAfee 文档经过仔细调研并面向目标读者编写。 

本指南中的信息主要面向以下人员: 

• 管理员 ‑ 执行和实施公司安全计划的人员。 

• 用户 ‑ 使用正在运行此软件的计算机并且可以访问其部分或全部功能的人员。 

约定 

本手册使用下列印刷约定和图标。 

“手册标题”或强调手册、章节或主题的标题;新术语的介绍;强调。 

粗体着重强调的文本。 

用户输入或路径用户键入的命令和其他文本;文件夹或程序的路径。 

代码 

代码示例。 

“用户界面” 用户界面(包括选项、菜单、按钮和对话框)中的文字。 

超文本(蓝色) 指向某个主题或网站的活动链接。 

附注:附加信息,例如访问某个选项的替代方法。 

提示: 意见和建议。 

重要事项/注意: 有关保护计算机系统、软件安装、网络、企业或数据的有用建议。 

警告: 在使用硬件产品时,防止受到人身伤害的重要建议。 


前言 

查找产品文档 

查找产品文档 McAfee 提供了产品实施各阶段(从安装到日常使用再到故障排除)所需的信息。在发行某个产品后,有关此产品的信息 

将输入到 McAfee 在线知识库中。 

任务 

1 转到 McAfee 技术支持 ServicePortal,网址为 http://mysupport.mcafee.com。 

2 在 “Self Service”(自助服务)下,访问所需类型的信息: 

要访问... 操作方法... 

用户文档 1 单击“Product Documentation”(产品文档)。 

2 选择产品,然后选择版本。 

3 选择产品文档。 

知识库 • 单击“Search the KnowledgeBase”(搜索知识库)以获取产品问题的解答。 

• 单击“Browse the KnowledgeBase”(浏览知识库)以查看按产品和版本列出的文章。 


1 

关于 Network Security Sensor 

McAfee ® Network Security Sensor (Sensor) [以前称为 McAfee ® IntruShield ® 

Sensors] 是一套高性能、可伸缩、灵活的 

内容处理设备,可以精确检测和预防入侵、滥用以及分布式拒绝服务 (DdoS) 攻击。 

McAfee ® Network Security Sensor (Sensor) 专门设计为以线速处理流量、高效而精确地检查和检测入侵以及根据任何企 

业环境安全需求灵活调整。在将 Sensor 部署在网络的主要接入点之后,即可实时监控流量,以检测恶意活动并根据管 

理员的配置做出适当响应。 

在部署好 Sensor 并建立通信后,便可使用 McAfee ® Network Security Manager [以前称为 McAfee ® IntruShield ® 

Security Manager] 对 Sensor 进行配置和管理。 

Network Security Sensor 的安装和运行过程分为以下基本阶段: 

1 确定 McAfee Network Security Sensor (Sensor) 的部署位置和工作模式 

2 安装所需部署模式的 Sensor 

3 安装 Manager 软件并建立 Sensor 与 McAfee ® Network Security Manager (Manager) 的通信 

4 通过 Manager 配置部署 

5 更新特征码和软件 

6 查看和处理由 Network Security Platform 生成的数据 

7 优化部署 

每一个阶段都由若干个任务组成;各个任务的复杂程度各不相同。通常,每个 Sensor 只需将步骤 1 至步骤 3 执行一遍 

即可。 

目录 

Sensor 功能 

Sensor 功能 

Sensor 平台 

确定 Sensor 的部署位置和工作模式 

安装 Sensor 

建立 Sensor 与 Manager 之间的通信 

查看和处理由 Network Security Platform 生成的数据 

通过 Manager 配置部署 

更新特征码和软件 

优化部署 

设备的主要功能是分析所选网段上的流量,并在检测到攻击时作出响应。设备会检查每个网络数据包的报头和数据部分, 

查找网络流量中表示恶意活动的模式和行为。设备会根据用户配置的策略或规则集检查数据包,这些策略或规则集决定 

了要监控哪些攻击,以及当检测到攻击时采取何种对策。 


1 

Sensor 平台 


Sensor 平台 

如果检测到攻击,Sensor 就会根据配置的策略作出响应。Sensor 可对攻击做出多种响应,包括生成警报和数据包日志、 

重置 TCP 连接、“净化”恶意数据包,甚至在攻击数据包到达预期目标之前将其完全阻止。 

Network Security Platform 提供多种类型的 Sensor 平台,可适合不同的带宽和部署策略。 

I 系列 Sensor 

I‑4010 I‑4000 I‑3000 I‑2700 I‑1400 I‑1200 

10/100 Base‑T 监控端口无无无 6 4 2 

10/100/1000 千兆位以太网监控端 

口 

12 

10/100/1000(仅铜 

口 SFP) 

4 12 

10/100/1000(仅铜 

口 SFP) 

2 无无 

RJ‑45 响应端口 2 2 2 3 1 1 

用于故障转移的端口 6A 和 6B 2A 和 2B 6A 和 6B 4A 响应端口响应端口 

内部 Tap 无无无是是是 

失效打开控制端口 6 2 6 无无无 

10/100 管理端口 1 1 1 1 1 1 

控制台端口 1 1 1 1 1 1 

辅助端口 1 1 1 1 1 1 

冗余电源是是是是无无 

失效关闭连接器无无无 6 4 2 

M 系列 Sensor 和 N‑450 Sensor 

10/100 Base‑T 

监控端口 

接口模块 16 个 1 千 

兆位 SFP 

端口 

M‑8000 M‑6050 M‑4050 M‑3050 M‑2750 M‑1450 M‑1250 N‑450 

无无无无无 8 个内置的 

10/100/1000 

RJ‑45 端口 

12 个 10 千 

兆位 XFP 

端口 

8 个 SFP 

端口 

8 个 XFP 

端口 

4 个 XFP 

端口 

8 个 SFP 

端口 

4 个 XFP 

端口 

8 个 SFP 

端口 

20 个 

SFP 端口 

8 个内置的 

10/100/1000 

RJ‑45 端口 

RJ‑45 响应端口 1 1 1 1 1 1 1 0 

用于故障转移的 

端口 

3A 和 3B 4A 

请注意, 

4B 保留不 

用。 

2A 2A 10A 

请注意, 

未使用 

10B。 

4A 

请注意,未使 

用 4B。 

4A 

请注意,未使 

用 4B。 

内部 Tap 无无无无无是是无 

失效打开控制端 

口 

14 8 6 6 10 无无 10 

10 McAfee ® Network Security Platform 7.0 设备管理手册 

无 

20 个 

SFP 端 

口 

10A 和 

10B

互连端口 4 个 10 千 

兆位 XFP 

10/100/1000 管 

理端口 

M‑8000 M‑6050 M‑4050 M‑3050 M‑2750 M‑1450 M‑1250 N‑450 

2 个 RJ‑45 

端口 

无无无无无无无 

1 1 1 1 1 1 1 1 

控制台端口 2 1 1 1 1 1 1 1 

辅助端口 2 1 1 1 1 1 1 1 

冗余电源是是是是是无无是 

失效关闭连接器无无无无无无无无 

每个设备都在与其相对应的“McAfee Network Security Platform Sensor 产品手册”中有相关介绍。 

确定 Sensor 的部署位置和工作模式 

安装 Sensor 

在哪里部署 Sensor 以及使用哪种型号的 Sensor 取决于您的网络拓扑(网络流量)和安全目标,后者最好能在贵公司的 

安全策略中指定。 

• 确定 Sensor 的安装位置。这是贵公司需要自行作出的决定。您可以参考“部署前的注意事项”中所列的一些概略问题 

来帮助决策。需要考虑的因素包括有哪些资产需要保护、网络配置、流量汇集点的位置、流量类型以及流量的路由 

方式等。 

• 为 Sensor 制定命名约定。Sensor 名称用于在 Manager 界面、某些报告以及 Sensor 生成的警报数据中识别 

Sensor。McAfee 建议制定一个便于 Network Security Platform 部署人员理解的命名约定。Sensor 一旦命名就不能 

再进行重新命名,除非将其卸载并重新安装。 

下面简要介绍 Sensor 的安装过程。这些任务都是在 Sensor 上执行。 

有关这些任务的详细信息,请参阅“McAfee Network Security Platform CLI 手册”。 

任务 

1 安排 Sensor 的位置。 

• 拆开包装,将 Sensor 放于平稳的台面上。 

• 将附带的机架安装耳安装到 Sensor 上。 

• 将 Sensor 安装到机架中。 

2 安装附属硬件。 


确定 Sensor 的部署位置和工作模式 1 

I‑1200 和 I‑1400 为 1‑RU(机架单位)设备;I‑2700、I‑3000、I‑4000 和 I‑4010 为 2‑RU 设备。 

M‑8000 包括两个 2‑RU 设备;M‑6050、M‑4050、M‑3050 和 M‑2750 为 2 RU 设备;M‑1450 和 M‑1250 为 1 

RU 设备。 


1 


安装 Sensor 

3 在 GBIC 插槽中安装 GBIC、SFP GBIC 或 XFP GBIC(未附带)。请注意,在 M‑8000 的附属套件中有四个 XFP 

GBIC,用于互连端口(XC2、XC3、XC5 和 XC6)。 

各 Sensor 型号的光纤插槽数 

Sensor 型号插槽数 

I‑2700 2 

I‑3000 12(SFP 插槽) 

I‑4000 4 

I‑4010 12(SFP 插槽) 

各 Sensor 型号的光纤插槽数 

Sensor 型号插槽数 

M‑8000 28(16 个 SFP 插槽和 12 个XFP 插槽) 




M‑2750 20(20 个 SFP 插槽) 

M‑1450 8(0 个 SFP 插槽) 

M‑1250 8(0 个 SFP 插槽) 

N‑450 20(20 个 SFP 插槽) 

为确保兼容性,McAfee 仅支持通过 McAfee 或 McAfee 认可的供应商购买的 GBIC 或 SFP/XFP GBIC 模块。有关认 

可厂商的列表,请参阅在线知识库。 

4 (可选)如果您购买了冗余电源,则安装该电源。下表列出了支持冗余电源的 Sensor 型号。 

支持冗余电源的型号 

Sensor 电源 

I‑1200 1 个内部电源 

I‑1400 1 个内部电源 

I‑2700 包括 1 个电源 

I‑3000 包括 1 个电源 

I‑4000 包括 1 个电源 

I‑4010 包括 1 个电源 


Sensor 电源 

M‑8000 包括 2 个电源 

可以使用 1 个单独的冗余电源 







M‑6050 包括 1 个电源 

M‑4050 包括 1 个电源 

M‑3050 包括 1 个电源 

M‑2750 包括 1 个电源 

M‑1450 1 个内部电源 

M‑1250 1 个内部电源 

N‑450 包括 1 个电源 

5 对 Sensor 进行电缆连接以完成配置。 






• 根据每个 Sensor 型号的“McAfee Network Security Platform Sensor 产品手册”中的描述将网络电缆连接到 

Sensor。必须分别对 Sensor 管理端口和控制台端口进行电缆连接,以便与 Manager 服务器和用于配置 

Sensor 的控制台计算机进行通信。而 Sensor 监控端口和响应端口可在以后需要时再连接。 

• 给 Sensor 通电并进行初始化。 

建立 Sensor 与 Manager 之间的通信 

下面简要介绍 Sensor 的安装过程。 

任务 

1 在服务器计算机上安装 Manager 软件。 


建立 Sensor 与 Manager 之间的通信 1 

• 在服务器计算机上安装 Manager 软件。有关此过程的详细信息,请参阅“McAfee Network Security Platform 安 

装手册”。 

• 按照“McAfee Network Security Platform Manager 管理手册”中的说明启动 Manager 软件。您可以通过 

Manager 服务器建立与 Sensor 的通信,或者通过连接到 Manager 服务器的客户端计算机使用浏览器建立与 

Sensor 的通信。 

• McAfee 建议通过浏览器会话从单独的客户端计算机连接 Manager 服务器,以执行配置任务。 

• 您可以选择默认情况下应用于根管理域(从而应用于 Sensor 上的所有监控接口)的特定策略。默认情况下,所提 

供的默认策略应用于新增 Sensor 的所有端口。 

有关管理域的详细信息,请参阅“McAfee Network Security Platform 入门手册”中的“管理域”。有关策略的详细信 

息,请参阅“McAfee Network Security Platform 入门手册”中的“使用安全策略”。 

您所指定的策略在进行特定更改之前将一直应用;默认策略让您能快速启动系统并运行。大多数用户会在一段时 

间之后使用 VIPS 优化其策略,以适应当前环境并减少无关警报的数目。 

• 打开“System Configuration(系统配置)”工具并添加 Sensor,为 Sensor 指定名称和共享密钥值。 


1 



2 配置 Sensor。 

• 从与 Sensor 物理或逻辑相连的串行控制台上,配置 Sensor 的网络标识信息(如 IP 地址、Manager 服务器的 

IP 地址等),配置时应使用在 Manager 中提供的同一名称(区分大小写)和共享密钥值。 

有关使用 Sensor CLI 配置 Sensor 的详细信息,请参阅“McAfee Network Security Platform CLI 手册”。 

3 确认 Sensor 与 Manager 之间能够通信。 

• 在 Sensor CLI 上检验 Sensor 的健康状况,并且确认 Sensor 已与 Manager 建立通信。使用“status”命令。 

• 在 Manager 界面中确认代表 Sensor 的节点出现在资源树中的“Sensors”节点下。有关查看资源树的信息在 

“McAfee Network Security Platform 入门手册”的“资源树”中有描述。 

4 排除遇到的任何问题。 

• 如果遇到任何问题,请检查并确保配置设置正确无误。有关故障排除的更多提示,请参阅“McAfee Network 

Security Platform 故障排除手册”。 

5 验证 Sensor 上端口的工作模式。 

• 默认情况下,Sensor 端口配置为以串联模式进行监控;也就是说,通过 Sensor 上的端口对与网段连接。如果您 

已用电缆将 Sensor 连接成以串联模式监控,请检查您的设置以确保所有内容正确无误。 

另请参阅 

配置设备监控端口和响应端口第 116 页 

将 Sensor 添加到 Manager 中第 40 页 


在完成上述各节步骤后,即可启动并运行 Sensor。Sensor 在主动监控网络通信量时,将对违反所设置安全策略的通信 

量生成警报。 

Network Security Platform 会在 Manager 主页按严重性(“High(高)”、“Medium(中)”、“Low(低)”和“Informational(信 

息)”)显示警报计数的汇总视图。Network Security Platform 提供了两种检查和查看警报的工具: 

• Threat Analyzer 可让您深入了解警报的细节,如触发警报的起因和时间、检测警报的 Sensor、触发警报的攻击来 

源 IP 地址,以及攻击的目标 IP 地址等。Threat Analyzer 可用于对警报执行鉴证分析,这有助于优化 Network 

Security Platform 系统、提供更好的攻击响应或者采取加强防御能力的措施。 

• 报告主页可提供基于警报的详细报告和有关 Network Security Platform 配置的报告。您可以使用这些报告与团队和 

管理层的其他人员进行沟通。 

有关这些工具的详细信息,请参阅“McAfee Network Security Platform Manager 管理手册”。 


通过 Manager 配置部署 


在启动、运行并查看系统生成的数据以后,您可以进一步配置和维护您的系统。例如,您可以执行以下操作: 

• 将安全策略应用于多端口 Sensor 的每个接口(而不是像选用默认策略建立 Sensor 与 Manager 之间的通信那样将 

同一套策略应用到所有接口)。您可以让接口针对所监控的网络区域使用特定的策略。例如,您可以将 Web 

Server 策略应用于第一个接口,将 Mail Server 策略应用于第二个接口,将 Internal Segment 策略应用于第三个接 

口,依此类推。有关所提供策略的详细信息,请参阅“McAfee Network Security Platform 入门手册”。 

• 配置警报响应。为了提高网络安全性能,建议您根据后果的严重性设定一系列的操作、警报和日志。例如,您可以 

配置 Network Security Platform 发送提醒消息或电子邮件通知、执行脚本、断开 TCP 连接、向 ICMP 传输的攻击源 

发送“ICMP Host Not Reachable(ICMP 主机无法访问)”消息,或者发送主机地址阻止。 

有关响应操作的详细信息,请参阅“McAfee Network Security Platform 入门手册”中的“响应管理”。有关详细信息,请 

参阅“McAfee Network Security Platform Manager 管理手册”。 

• 过滤警报。攻击过滤器通过排除某些来源和目标 IP 地址参数,限制了系统生成警报的数量。如果在数据包中检测到 

这些地址参数,就不会对该数据包进行进一步分析(在串联模式中会自动转发)。有关攻击过滤器的详细信息,请参 

阅“McAfee Network Security Platform Manager 管理手册”。 

• 查看系统健康状况。“Operational Status(工作状态)”页会显示所有已安装 Network Security Platform 系统组件的详 

细运行状态。Manager、Sensor 或数据库出现故障后,都将生成详细的系统故障消息。有关详细信息,请参阅 

“McAfee Network Security Platform Manager 管理手册”。 

• 查看端口性能。 The“Performance Statistics(性能统计数据)”操作可查看 Sensor 端口的性能数据。收集到的数据反 

映了通过端口的流量。 

• 将 Manager 配置信息全部或部分备份到服务器或其他位置。Network Security Platform 提供以下三个备份选项: 

• “All Tables(所有表)”:所有 Network Security Platform 数据(配置、审核和警报)。 

• “Config Tables(配置表)”:所有与系统配置相关的信息,例如所有域中所有 Network Security Platform 资源的 

端口配置、用户、管理域、策略。 

• “Audit and Alert Tables(审查和警报表)”:所有与用户活动及警报有关的信息。 

使用“All Tables(所有表)”和“Audit and Alert Tables(审查和警报表)”选项备份时,备份可能会非常大,具体取决 

于数据库中的警报数据量。McAfee 建议将这些类型的备份数据保存至备用位置。 

有关如何备份数据的详细信息,请参阅“McAfee Network Security Platform Manager 管理手册”。 

另请参阅 

查看默认的 Sensor 性能监视器第 99 页 


通过 Manager 配置部署 1 

更新系统特征码和软件映像对于 IPS 是否可靠起着关键作用。McAfee 定期发布新的 Manager 软件、Sensor 特征码和 

软件映像,并通过 McAfee ® Network Security 更新服务器向已注册的支持客户提供这些更新。 


1 



字段描述 

1 更新服务器 

2 Internet 

3 Manager 服务器 

4 PC/tftp 服务器 

5 导入/磁盘 

6 Sensor 

Manager 软件安装包含一套默认的特征码集映像。 

将更新加载到 Manager 和 Sensor 上有多种可选方式。 

1 将映像从 McAfee Network Security 更新服务器(更新服务器)下载到 Manager。 

您可以通过 Manager 界面将 Sensor 软件和特征码更新从更新服务器下载到 Manager 服务器,然后再将 Sensor 映 

像下载到 Sensor。有关详细信息,请参阅“McAfee Network Security Platform Manager 管理手册”。 

2 将映像文件从远程工作站导入到 Manager。 

如果 Manager 服务器没有连接到 Internet,可以将更新从更新服务器下载到任何主机,然后执行以下操作之一: 

• 将映像下载到远程主机,在该远程主机上通过浏览器会话登录 Manager,然后将映像导入到 Manager 服务器。 

然后可以将 Sensor 映像下载到 Sensor。有关详细信息,请参阅“McAfee Network Security Platform Manager 管 

理手册”。 

• 与上述类似,从更新服务器将映像下载到任何主机并存储在磁盘上,将该磁盘插入 Manager 服务器,然后导入 

映像并将其下载至 Sensor。 

3 从更新服务器将 Sensor 软件下载到 TFTP 客户端,然后再下载至 Sensor。 

可以从更新服务器将软件映像下载到 TFTP 服务器,然后使用 Sensor CLI 命令将映像直接下载至 Sensor。如果您 

不希望通过 Manager 更新 Sensor 软件,或者是遇到故障而无法执行该操作,则可以使用这种方法。有关详细信息, 

请参阅“McAfee Network Security Platform CLI 手册”。 


优化部署 

了解 Manager 程序的基本原理之后,便可以利用一些更高级的功能进一步强化您的部署。相关功能包括: 

• 复制和修改由 Network Security Platform 提供的策略。有关详细信息,请参阅“McAfee Network Security Platform 

入门手册”中的“处理安全策略”。 

• 将 Sensor 部署成以 Tap 模式监控流量,或者最终转为串联模式。 

• 添加用户和指定管理角色。有关详细信息,请参阅“McAfee Network Security Platform 入门手册”中的“在 Network 

Security Platform 中的管理用户”。 

• 添加管理域以管理资源。有关详细信息,请参阅“McAfee Network Security Platform 入门手册”中的“管理域”。 

• 根据网络配置将接口类型更改为 CIDR 或 VLAN。 

• 使用访问控制列表 (ACL) 阻止流量或让流量在不经过 IDS 引擎的情况下通过。 

另请参阅 

接口类型第 184 页 


优化部署 1 


1 


优化部署 


2 检查部署前的注意事项 

2 

部署 Network Security Platform 需要对网络的安全需求有非常详尽的了解。阅读此部分有助于确定最适合您的环境的 

McAfee ® Network Security Sensor (Sensor) 型号,以及每个 Sensor 端口最适合的工作模式。 

目录 

您的网络规模如何? 

您的网络规模如何? 

您的网络与外部网/Internet 之间有多少个接入点? 

网络内有哪些重要服务器需要保护? 

网络拓朴的复杂程度如何? 

网络上通常有多少流量经过? 

安全操作位于何处? 

Sensor 应部署在哪些地方? 

网络规模决定需要部署多少个 Sensor 才能成功有效地保护整个网络。大型网络有许多接入点、文件服务器和正在使用 

的计算机,其所需的 IPS 部署级别当然会高于只有一个接入点和几台计算机的小型办公室。 

了解未来业务的发展也有助于判断将来所需的设备数量以及正确的网络部署策略。Network Security Platform 产品的设 

计考虑了发展的需要。Network Security Platform 可以管理多台 Sensor,Sensor 可以监控性能从 100 Mbps 到每秒数 

GB 的网段。 

您的网络与外部网/Internet 之间有多少个接入点? 

大型企业通常都有好几个接入点,容易为心存不轨的人所利用。对网络各个接入点的保护是成功安装 IDS 的关键所在。 

不能忽视任何一个环节。 

抵御来自 Internet 的入侵固然重要,但防范通过外部网或在企业网内部进行的滥用和入侵同样关键。事实上,研究统计 

表明,内部人员反而是最常见的攻击来源。 

网络内有哪些重要服务器需要保护? 

需要保护包含财务信息、人事信息和其他机密信息的文件服务器,以免这些关键信息被恶意人员利用。这些计算机极易 

成为攻击目标。而且,如上节中所述,内部人员会造成一定的威胁,而这种威胁必须得到解决。 

您还应该考虑企业内不同区域是否需要不同级别的安全保护。评估有多少敏感资料处于在线状态、这些资料位于何处以 

及谁有权访问。 


2 

检查部署前的注意事项 



非对称路由网络是非常复杂的环境,需要小心计划和执行。 

下图所示的网络受到以 Tap 模式运行的 Sensor 保护。由于两条链路受同一个 Sensor 监控,因此状态计算机可保持同 

步。Sensor 支持主动式/主动式配置,只要总带宽不超过 Sensor 的总处理能力即可。 

此外,由于 Sensor 上的状态计算机能够有效地将入站和出站流量关联起来,因此也能监控从一条链路流入、而从另一 

条链路流出的非对称路由流量。 

另请参阅 

接口组第 35 页 


网络上通常有多少流量经过? 

带宽和通信流对于企业网络运行的顺畅至关重要。企业网络中不同区域对于带宽的需求也不一样,因为不同应用程序和 

业务职能具有不同的需求。需要监控的网段的带宽利用率决定最适合的 Sensor 类型。Network Security Platform 提供 

多款 Sensor,分别适用于不同的带宽: 

Sensor 带宽 

安全操作位于何处? 

Sensor 总体性能 

I‑1200 100 Mbps 

I‑1400 200 Mbps 

I‑2700 600 Mbps 

I‑3000 1 Gbps 

I‑4000 2 Gbps 

I‑4010 2 Gbps 

Sensor 总体性能 

M‑8000 10 Gbps 

M‑6050 5 Gbps 

M‑4050 3 Gbps 

M‑3050 1.5 Gbps 

M‑2750 600 Mbps 

M‑1450 200 Mbps 

M‑1250 100 Mbps 

N‑450 2 Gbps 

为了成功防范入侵,McAfee 建议应持续监控安全系统。网络入侵在任何时间都可能发生,因此建立一个全天候 24 小时 

的预防系统,可使安全解决方案更为完整有效。 

安全人员位于何处?有多少用户?了解负责配置策略、监控事件、运行报告和执行其他配置任务的人员,将有助于管理 

用户和确定 McAfee ® Network Security Manager 服务器的安放位置。Manager 应该放在物理上非常安全、逻辑上用户 

可以访问的位置,并且必须具有可靠的连通性,以便能够与部署的所有 Sensor 通信。 


Sensor 究竟应该部署在网络周边、要保护的服务器前面,还是所有流量必经的交叉点上? 


网络上通常有多少流量经过? 2 

将 Sensor 部署在周边无法防范内部攻击,而这是最常见的攻击来源之一。如果网络在多个地点有多条 ISP 连接(例如纽 

约和圣何塞各有一条 Internet 连接),而您期望查看非对称流量路由(即流量从纽约进入而从圣何塞离开),那么周边监控 

也无法发挥作用。因为 IPS 根本看不到所有流量,更谈不上维护状态和检测攻击了。将 Sensor 部署在要保护的服务器 

前面,不仅能够抵御来自内部用户的攻击,也能有效地解决因地域不同而导致的非对称路由问题。 


2 



Sensor 监控多网段的优点,在 Sensor 与防火墙的配合安装问题上就看得出来。防火墙的周围通常部署有 Sensor,用 

来检查防火墙允许通过的流量。在防火墙周围安装 Sensor 时经常遇到的一个问题是:将 Sensor 放在防火墙内(专用 

DMZ)还是防火墙外(公用)?。其实这两种方案各有优点,若能加以综合,将使整个解决方案更为完整。例如,如果 

在防火墙外检测到攻击,同时在防火墙内也检测到同一个攻击,就表示您的防火墙已经被“攻陷”了。如果只在防火墙外 

发现攻击,而防火墙内没有,严重性显然比上一种情况小得多,因为这表示防火墙阻止了攻击。 

使用现有的单一监控端口产品时,必须部署多台 Sensor 才能覆盖所需的范围(如下图左侧所示)。此外,还必须确定如 

何将其连接到要监控的网段,而且只能通过 SPAN 或集线器端口连接。 

考虑使用 I‑2700 Sensor 时的相同情形(如下图右侧所示)。可以用一台 Sensor 同时监控全部三个网段,再加上集成 

Tap,就可以轻松地监控路由器和防火墙之间的全双工链路。也可以使用串联模式运行内部连接,这样既可防范入侵, 

又可以使用 Tap 模式运行外部连接。 



Sensor 应部署在哪些地方? 2 


2 




3 

了解 Sensor 部署模式 

本节提供在多种网络环境中实现 McAfee ® Network Security Platform 产品的建议。 

目录 

灵活的部署选项 


以串联模式部署 Sensor 

以 Tap 模式部署 Sensor 

SPAN 端口和集线器监控 

高可用性 

接口组 

在 McAfee Network Security Platform 中,McAfee Network Security Sensor (Sensor) 的部署方式具有前所未有的灵活 

性。Sensor 可以部署在多种拓扑和网络安全应用中,提供行业领先的灵活性和伸缩性。现今市面上大多数基于 PC 的 

IDS Sensor,同一个时间都只能监控一个网段,并且只能通过交换机上的 SPAN 端口进行。因此,要监控包括多个网段 

的交换式环境,和高可用性环境中部署的多台交换机,将需要多台 Sensor。 

多端口 Sensor 部署 

多端口 Sensor 与单端口 Sensor 不同,多端口 Sensor 能够组合多种工作模式(即 Sensor 的监控模式或部署模式,如 

SPAN 模式、Tap 模式或串联模式)监视多个网段(如 I‑3000 或 I‑4010 最多可监控 12 个网段)。此外,Network 

Security Platform 的虚拟 IPS (VIPS) 功能还可将 Sensor 上的端口进一步细分为多个“虚拟 Sensor”。 

这些功能有助于简化部署,不仅可以使用一台 Sensor 监控多个网段,而且还可将 Sensor 配置成以最适合各网段的模式 

运行。 

支持的部署模式 

Sensor 上的每个端口都支持以下部署模式: 

• SPAN 或集线器 

• Tap 

• 串联,失效关闭 

• 串联,失效打开 

此外,Network Security Platform 还提供现今错综复杂的网络所不可或缺的功能:接口组(也称为端口群集)和高可用 

性。 

在以下示例中,一台 Network Security Platform I‑2700 Sensor 被部署用于监控企业网络内外多个网络接触点。包括网 

站、员工的公司 Internet 访问、员工远程访问、外部网连接以及对财务或人事等重要部门的服务器发动的内部攻击。 


3 



在本示例中,I‑2700 Sensor 的端口可按照如下所示进行配置: 

• Tap 1:端口 1A 和 1B 以 Tap 模式运行,通过响应端口 R1 响应攻击。 

• Tap 2:端口 2A 和 2B 以 Tap 模式运行,通过响应端口 R2 响应攻击。 

• 交换机 A 的 SPAN:端口 3B 以 SPAN 模式运行,通过 SPAN 端口将响应数据包传回交换机。 

• 交换机 B 的 SPAN:端口 3A 以 SPAN 模式运行,通过响应端口 R3 响应攻击。 

全双工和半双工监控 

Sensor 配备多个监控端口和响应端口。默认情况下,Sensor 端口内部相互配对连接(如 1A 和 1B),监控全双工对的流 

量,也就是说,两个检测端口共同监控双向的通信流。 

要以串联或 Tap 模式监控全双工网段,需使用两个 Sensor 端口,一个监控传输,另一个监控接收。SPAN 端口监控使 

用一个端口进行接收,并且可以通过同一端口进行响应(如果交换机支持此功能)。 

Sensor 型号支持全双工链路的数目支持半双工链路的数目 

I‑1200 1 2 

I‑1400 2 4 

I‑2700 4 8 

I‑3000 6 12 

I‑4000 2 4 

I‑4010 6 12 


Sensor 型号支持全双工链路的数目支持半双工链路的数目 

M‑8000 28 16 

M‑6050 16 8 

M‑4050 12 8 

M‑3050 12 8 

M‑2750 20 20 

M‑1450 8 8 

M‑1250 8 8 

N‑450 20 20 

• 串联模式和 Tap 模式均可监控全双工链路。 

• SPAN 监控可采用半双工或全双工模式(具体取决于交换机)。 

• 集线器监控只能采用半双工模式。 


串联模式是将 Sensor 直接放在网段的路径上,就像是路障一样,让所有数据包都会通过 Sensor。在此模式中, 

Sensor 通过实时丢弃恶意流量来防范网络攻击。这种预防性措施可以做到非常细微的地步,例如自动丢弃针对特定 

Web 服务器的 DoS 流量。 

默认情况下,Sensor 配置为以串联模式运行。 

采用串联模式时,网段必须连接到 Sensor 的两个配对端口(例如端口 1A 和 1B),数据包通过 Sensor 时会受到实时检 

查。 

以串联模式使用 Sensor 具有以下优点: 


以串联模式部署 Sensor 3 

• 保护/预防。预防是串联模式特有的功能。基本上,以任何“监听”模式运行时,IPS 都无法阻止恶意数据包到达其预定 

目标。因为在监听模式中,Sensor 看到攻击行为的时候,也正是攻击行为击中目标的时候。虽然您可以立即采取对 

策(如 TCP 重置),但毕竟只是事后的修复操作。阻止恶意数据包到达目标的唯一方法是半路拦截通信流进行检查。 

当 Sensor 以串联模式运行时,一遇到恶意数据包便会立刻丢弃,绝对不会让它们通过网络。这有点像“自适应防火 

墙”,由检测策略决定要丢弃的数据包。此外,在丢弃数据包时,Network Security Platform 的判定非常精确细致。 

Sensor 只丢弃确定为恶意的数据包,或与恶意通信流相关的所有数据包(用户可以配置选项)。 

使用现今 IDS 产品重新配置防火墙操作的问题之一是,攻击者假造的地址范围很大,可能会误导防火墙阻止合法的 

流量,而形成另一种拒绝服务攻击。Network Security Platform 只丢弃恶意的数据包,因此假造的流量达不到相同的 

效果。 

• “数据包“净化””。除了丢弃恶意流量之外,Network Security Platform 还可以净化(或规范化)流量,去除协议中任何 

可能被攻击者用来逃避检测的模糊内容。当前的 IDS 产品都有可能被这些技巧蒙混过去,IP 碎片和 TCP 片段重叠 

就是典型的例子。Sensor 可以重组 IP 碎片和 TCP 片段,并强制执行用户选择的重组模式来接受旧数据或新数据。 


3 



• 以线速处理。采用串联模式有一个明显的要求,就是要避免丢弃数据包,不让 IDS Sensor 成为瓶颈。Sensor 能以 

线速处理数据包。 

• 高可用性。在串联模式中,Sensor 实际上已成为网络的单一故障点,因此 Sensor 支持完整状态的故障转移,提供 

行业内第一套真正高可用性 IPS 部署,类似于防火墙一样。如果以串联模式运行,McAfee 建议以冗余方式部署两 

个 Sensor,以实现故障转移保护。 

图 3-1 串联模式 

在串联模式(如上图所示)中,Sensor 从逻辑上就像一个完全通透的转发器,其处理数据包所造成的延迟非常微小。与 

桥接器、路由器及交换机不同,Sensor 不需要学习 MAC 地址,也不必保存 ARP 缓存或路由表。 

以串联模式部署时,必须指定 Sensor 端口是监控其保护的网络内部的还是外部的流量。例如,网络拓朴的复杂程度如 

何?图中所显示的 Sensor 同时监控网络内外的链路。 

另请参阅 

网络拓朴的复杂程度如何?第 20 页 

失效打开和失效关闭 

以串联模式部署的 Sensor 端口,允许您选择在失效时是开放还是关闭。失效开放的端口,类似于防火墙的运行,允许 

网络通信量继续通过。因此即使端口失效,Sensor 也不会成为瓶颈,但监控会停止,恶意流量可能趁机入侵您的网络系 

统。如果将端口配置成失效关闭,则 Sensor 将不允许网络通信量继续通过,因此失效的端口变成瓶颈,阻止所有通信 

量通过 Sensor。 

GE 端口的失效打开选项 

Sensor 的千兆位以太网端口必须连接可选的光纤旁路交换机和控制器卡,才能实现串联失效打开功能;至于串联失效关 

闭模式,则不需要任何额外的硬件。此硬件包含在光纤旁路千兆位失效打开套件中,需单独购买。 

有关硬件连接的详细信息,请参阅“McAfee Network Security Platform 千兆位光纤失效打开旁路套件手册”。有关验证端 

口配置的详细信息,请参阅“McAfee Network Security Platform Manager 管理手册”。 


FE 端口的失效打开选项 

对于快速以太网端口来说,必须连接失效关闭连接器才能实现失效关闭模式;而对于 FE 端口来说,无需任何额外的硬 

件即可实现串联失效打开模式。 

2 层通过模式 

失效打开保障网络在 Sensor 失败时仍可正常工作。当 Sensor 有端口以串联失效打开模式运行时,若 Sensor 遭遇非常 

严重故障,便会重新启动;在重新启动的过程中,Sensor 会切换到失效打开模式,直到完成重新启动。如果又遇到非常 

严重故障,就会再开始另一个重新启动循环。此情形会一直重复,直到进行人为干预为止。 

也可以从 Network Security Platform 用户界面配置“Layer 2 Passthru(2 层通过)”(L2) 功能,使 Sensor 在达到故障阈值 

时自动激活失效打开或通过模式。此功能允许您设置指定时间内 Sensor 遭遇非常严重故障的次数阈值,超过这一阈值 

后,Sensor 将强制进入 2 层通过模式。 

例如,可以配置为如果在 10 分钟的时间内发生三次非常严重故障,则启用 2 层通过模式。如果在第 1、3 和 7 分钟分 

别发生故障,L2 模式就会启用。下面介绍另外一种情况:第 1、4、11 和 13 分钟分别发生故障,在本例中,因为最后 

3 次故障也是在 10 分钟内发生的,所以 Sensor 也会进入 L2 模式。 

Sensor 重新启动可能需要几分钟。这段停机时间不计入 L2 功能的计算时间内,只有 Sensor 启动之后才开始计算时间。 

所有型号的 Sensor 都支持 L2 功能。 

另请参阅 

启用 2 层设置第 138 页 


Tap(内部或外部)是一种被动式接线设备,能将全双工以太网段上的通信量复制下来,传给 Sensor 处理器进行分析。 

全双工 Tap 会将一条链路拆分成传输和接收两个通道。Sensor 提供多个监控接口监控这两个通道。为了支持全双工 

Tap,Sensor 端口成对连接。利用 Tap 监控一条全双工链路需使用两个监控端口。 

I‑1200 和 I‑2700 Sensor 上的 10/100 监控端口有两种 Tap 监控(“Tap 模式”图)方式:启用内部 Tap,或将接口连接外 

部 Tap。Sensor 的 GBIC 端口则必须使用外部 Tap。 

以 Tap 模式使用 Sensor 具有以下优点: 

• 被动式监控上行链路。Tap 不会对网络流量造成延迟。基本上只是监听通过的流量。 

• 不需要 SPAN 端口。大部分交换机上的 SPAN 端口都是以半双工模式运行,因此一个高速以太网端口只能处理最 

高 100 Mbps 的带宽,超过此上限就会开始丢弃数据包。如果上行链路正在以 100Mbps 以上的总体速度运行,则高 

速以太网 SPAN 端口就无法处理,但全双工 Tap 可以。另一个问题是大多数交换机支持的 SPAN 端口数目有限,并 

且还经常与其他功能(例如 RMON 探查、监听器等)竞争资源。 

• Tap 失效时通信量可继续通过。Tap 是完全被动的且有容错功能,失效时对网络连接和性能没有任何影响。Tap 失 

效打开,即失效的 Sensor 允许通信量继续通过。 

Tap 模式的缺点在于它无法像串联模式一样阻挡攻击。因为 Tap 模式是被动的,Sensor 基本上只能看着恶意流量经过, 

所以在 Tap 模式中检测到攻击时,只能触发攻击后的响应。又由于响应数据包无法通过 Tap 传回,因此 Sensor 提供响 

应端口以便发出响应数据包。 

图 3-2 Tap 模式 


以 Tap 模式部署 Sensor 3 


3 



以内部 Tap 模式部署带有 FE 端口的 Sensor 

启用内部 Tap 之后,10/100 (FE) 监控端口能以全双工隐藏模式处理网络流量。在此模式中,网段的连接方式类似于串 

联模式,但 Sensor 处理流量的方式不同。启用的内部 Tap 收到流量之后,会将收到的数据包转发出去,同时还会复制 

一份发送给 Sensor 的检测处理器。 

默认情况下,Sensor 端口(xA 和 xB,如下图中的 1A 和 1B)成对连接以进行全双工 Tap 模式监控。数据在 Tap 中形 

成回路,并复制一份转发给各个端口的其余 Sensor。响应数据包则通过响应端口发送到交换机或路由器。 

这三个 Sensor 的内部 Tap 失效打开,因此即使 Sensor 发生故障,数据也会继续畅通无阻。 

任何时候都可通过 Manager 方便地重新配置 I‑1200、I‑1400 和 I‑2700 的 10/100 监控端口,禁用内部 Tap 而改以串联 

模式进行监控。此过程在从 Tap 模式切换到串联模式一节中介绍。当采用串联模式时,Sensor 可以阻止恶意流量到达 

其预定目标主机。 

图 3-3 I‑2700 Sensor:内部 Tap 模式 


另请参阅 

从 Tap 模式切换到串联模式第 32 页 

以外部 Tap 模式部署带有 GE 端口的 Sensor 

具有 GE 监控端口的 Sensor 需要外部 Tap。外部 Tap 是全双工的,以串联模式连接网段,复制流量并发送给 Sensor 

进行分析。 

图 3-4 以 Tap 模式部署的 I‑4000 Sensor 


以 Tap 模式部署 Sensor 3 


3 



从 Tap 模式切换到串联模式 

从 Tap 模式切换到串联模式很容易。如果用内置 Tap 以内部 Tap 式运行 Sensor,只需在 Manager 的系统配置工具中 

使用简单的软件配置命令,就可以在 Tap 模式和串联模式之间切换。因此,您可以先以 Tap 模式运行,对 Sensor 的可 

靠性满意后再切换到串联模式,切换时无需对 Sensor 执行操作。I‑2700 上的端口还可以混用不同的模式,例如其中一 

对端口采用串联模式,其他端口采用 Tap 模式。但对于 GE 端口 Sensor,从 Tap 模式切换到串联模式需要进行少量的 

电缆重新连接工作。 


Sensor 可连接到交换机的 SPAN 端口或集线器上的端口。大多数厂商的 IDS Sensor 都是以这种方式部署的, 

Network Security Platform 的初级用户也大多选择以这种模式部署。“交换机端口分析器”(SPAN) 端口专门为进行故障排 

除和网络分析设计,使连接的网络分析器可以接收主机通过此交换机发送的所有数据包。SPAN 端口会将进出交换机的 

所有流量转发给连接 Sensor 或监听器的预定端口。这称为端口转发或端口镜像,可让连接的设备监控该交换机上的所 

有流量。 

监控 SPAN 端口和集线器时,流量通常都是半双工的。只需要一个监控端口就可以监控每个 SPAN 或集线器端口。您 

可以通过集线器传回响应;如果交换机支持的话,也可以通过 SPAN 端口传回响应。 

如果交换机不支持通过 SPAN 回传数据包,您可以通过 Sensor 响应端口发送响应。 


高可用性 


当监控 SPAN 或集线器端口时,将禁用具有内部 Tap 的 Sensor。 

如果以 SPAN 或集线器模式部署,McAfee 建议用具有失效关闭功能的连接器连接高速以太网端口。 

在图 SPAN 端口监控(显示的是 I‑4000 Sensor)中,端口 1A 从交换机 A 的 SPAN 端口接收数据。端口 1B 则从交换 

机 B 的 SPAN 端口接收数据。一台活动 I‑4000 Sensor 监控两台交换机上两条不同的网络链路,每条链路上通过 

Sensor 的流量最高可达 1 Gbps,即 IPS 引擎总共承受 2 Gbps 的流量。 

冗余是需要全天候 24 小时运行的网络所不可或缺的关键要素。以串联模式冗余部署一对完全相同(相同的型号、软件映 

像和特征码集)的 Sensor,Network Security Platform 便可提供高可用性功能,无需管理员干预。 

了解 Network Security Platform 的故障转移功能 


高可用性 3 

在一般的故障转移配置中,一台设备是“活动”设备,而另一台为“备用”设备。设备的作用如其名称所示,活动设备执行正 

常的网络功能,备用设备进行监控,当活动设备失败时,备用设备接管工作。 

在 Network Security Platform 中,由于两台故障转移 Sensor 必须时刻准备着处理所监控端口上的数据包,因此它们实 

际上都保持活动状态;除非出现故障,否则任何一台 Sensor 都不停止运行(即处于“备用”状态)。相反,两台 Sensor 

都正常运行。 


3 


高可用性 

例如,在图高可用性配置中的两台 I‑4000 中,两台 Sensor 串联在一起,通过电缆互相连接,配置成故障转移对。所有 

流量都会相互复制给对方共享,以便保持状态。Sensor A 会将其监控端口收到的数据包复制一份,通过互连端口传给 

Sensor B,反之亦然。由于两台 Sensor 都看得到所有流量,并据此建立状态,因此两者的状态信息始终都保持同步。 

两台 Sensor 都会看到所有数据包(当它们都正常运行时),但检测到攻击时,只有其中一台 Sensor 会发出警报。 

主 Sensor 与活动 Sensor 

可以使用 Manager 的“Configuration(配置)”页配置故障转移对。指定一台 Sensor 为主 Sensor,另一台为次 Sensor。 

这种指定方式纯粹是为了配置,与 Sensor 本身是否为活动设备没有关系。 

配置好之后,这两台 Sensor 就会交换信息以决定各自的角色,在线时间较长的 Sensor 为活动 Sensor。如果两者在线 

时间完全相同,则序列号较高的 Sensor 为活动 Sensor。两台 Sensor 每秒钟都会通信,检查对方运行是否正常。如果 

故障转移对无法相互通信,每台 Sensor 都会认为对方停机,并分别发出警报。如果重新建立通信,两台 Sensor 会相互 

通信以决定各自在故障转移中的角色。 

当一台 Sensor 的恢复晚于另一台 Sensor 时,新 Sensor 会与旧 Sensor 进行状态同步,并根据其监控端口和互连端口 

上收到的数据包建立同步状态。 


接口组 

这种主动式/主动式配置增加了能够支持非对称通信流的优点(即属于同一 TCP/UDP 通信流的数据包会分别被两台 

Sensor 收到)。因此,即使是非对称流量,Network Security Platform 故障转移对也可以检测到攻击。此主题将在接口 

组一节中讨论。 

另请参阅 

接口组第 35 页 


接口组 3 

接口组在网络术语中也称为端口群集,可将不同 Sensor 接口(或故障转移对中的不同 Sensor)上处理的通信量合并成 

单一逻辑接口以进行状态和入侵分析。例如,非对称路由最好是采用接口组。在非对称路由中,TCP 连接不一定沿着同 

一网络路径接收和发送数据包。因此,用单一接口的 Sensor 监控此传输可能只看到收到的流量,而监控不到响应的流 

量,从而无法获得传输的所有数据。 

Sensor 配备多个接口,可以监控非对称流量。例如,如非对称网络中的接口组图中所示,默认情况下,I‑4000 的四个 

端口配对组成两个接口。对等端口 1A 和 1B 监控非对称传输的一个方向,而对等端口 2A 和 2B 则监控另一个方向。 

将 1A‑1B 和 2A‑2B 组成一个接口组后,Sensor 不仅能看到非对称路由网络中所有会话的所有流量,而且还能保持状态 

并精确检测所有攻击。 


3 


接口组 


4 

使用 Manager 配置设备 

本节讨论使用 Manager 资源树管理 McAfee ® Network Security Sensor(设备)和 McAfee ® Network Threat Behavior 

Analysis (NTBA Appliance) 的概念和配置说明。 

“Device List(设备列表)”节点是给定管理域中的顶层设备节点。该节点是一个逻辑实体,它代表由某个管理域控制的一 

组 Network Security Sensor 和/或 NTBA Appliance。在“Device List(设备列表)”节点处指定的配置设置会设置在默认 

情况下应用于该节点内添加的所有物理设备的一般规则。对于 Sensor 设备,这些添加的设备称为“Device_Name(设备 

名称)”节点;对于 NTBA Appliance,则称为“NTBA_Appliance_Name(NTBA Appliance 名称)”节点。这些节点将继承 

父域的一般规则。 

对于设备,您可以将两个设备合为一组,以创建一个故障转移对(“Failover‑Pair‑Name(故障转移对名称)”节点)。 

创建子域时,如果选中“Allow Devices(允许设备)”选项,则除根域以外的管理域只能有一个设备节点。 

因为管理员通常只在某些域中具有角色,所以他们只能在各自的域中看到已安装的设备/NTBA Appliance 或分配的接口。 

某些子域只含有来自父级的分配接口,而没有设备。因此,只能对接口进行配置。 

在“Configuration(配置)”页中执行的许多设备配置并不会立即更新到设备/NTBA Appliance。必须执行更新所有设备的配 

置或更新设备的配置,将配置信息从 McAfee ® Network Security Manager (Manager) 推送到您的设备。 

另请参阅 

更新设备配置第 47 页 

目录 

使用向导安装 Sensor 


设备列表节点可能的操作 

管理远程访问 

配置和监控设备性能 

指定用于 Internet 连接的代理服务器 

本节详细介绍“Sensor Installation Wizard(Sensor 安装向导)”,并提供有关如何使用该工具的信息。 

要安装并运行 McAfee ® Network Security Platform,需要将 McAfee ® Network Security Sensor (Sensor) 添加到 

McAfee ® Network Security Manager (Manager) 中并对 Sensor 进行配置。“Sensor Installation Wizard(Sensor 安装向 

导)”将指导您完成添加和配置 Sensor 所涉及的步骤。使用该向导让您可以按顺序完成所需的步骤。 

要使用此功能,您在根管理域中必须具有“Super User(超级用户)”角色。 

您可以仅使用向导将 Sensor 安装到根管理域中。 


4 



在开始添加和配置 Sensor 之前,请确保您已完成以下任务: 

• 为 Sensor 制定 Sensor 命名约定。有关详细信息,请参阅“McAfee Network Security Platform 安装手册”中的“建立 

Sensor 命名方案”部分。 

• 在网络中安装 Sensor。有关详细信息,请参阅对应的“McAfee Network Security Platform Sensor 产品手册”。 

支持的 Sensor 型号 

以下型号支持使用向导安装 Sensor: 

• 您可以使用向导来安装 I 系列和 M 系列的 Sensor。 

• 对于 I 系列的 Sensor: 

• 您可以更改每个端口的端口配置(串联、Tap 和 SPAN 模式)以及其他配置(如全双工模式、速度),然后针对每 

个端口应用策略,最后推送配置更改。 

• 对于 M 系列的 Sensor: 

I 系列 Sensor 不支持 NAC。 

• 对于 IPS Sensor,您可以更改每个端口的端口配置(串联、Tap 和 SPAN 模式)以及其他配置(如全双工模式、 

速度),然后针对每个端口应用策略,最后推送配置更改。 

• 如果 Sensor 拥有 NAC 许可证,则还可以配置 McAfee ePO 服务器(如果 IBAC 已启用),并针对所发现 

Sensor 的每个端口设置 IP、网关、掩码和 VLAN(如果审核日志已启用)。在向导安装结束时,用户可以将配置 

更改推送到 Sensor。 

• 对于 N 系列的 Sensor 

• 您还可以配置 ePO 服务器(如果 IBAC 已启用),并针对所发现 Sensor 的每个端口设置 IP、网关、掩码和 VLAN 

(如果审核日志已启用)。在向导安装结束时,用户可以将配置更改推送到 Sensor。 

添加和配置 Sensor 

此向导并不支持安装 NTBA Appliance。 

添加和配置 Sensor 的过程包括调用 Sensor 安装向导、从本地目录中导入特征码集、将 Sensor 添加到 Manager、分 

配 Sensor 的端口配置、将配置推送到 Sensor、选择特征码集更新方法、下载最新的特征码集、使用命令行界面配置 

Sensor、将策略应用到 Sensor 上的接口,以及查看 Sensor 安装摘要页。 

另请参阅 

调用 Sensor 安装向导第 39 页 

从本地目录中导入特征码集第 40 页 


指定 Sensor 上的端口配置第 43 页 

将配置推送到 Sensor 第 44 页 

选择特征码集更新方法第 39 页 

下载最新的特征码集第 39 页 

使用 CLI 配置 Sensor 第 41 页 

将策略应用到 Sensor 上的接口第 44 页 

查看 Sensor 安装摘要页第 44 页 


调用 Sensor 安装向导 

任务 

1 从 Manager 中,转至“Configure(配置)” | “Wizards(向导)”以调用“Sensor Installation Wizard(Sensor 安装向 

导)”。 

或者,从 Manager 主页中,转至“To Launch Sensor Installation Wizard, click here(要启动 Sensor 安装向导,请 

单击此处)”部分。此时将显示“Sensor Installation Wizard(Sensor 安装向导)”欢迎页。 

2 单击“Next(下一步)”。 

另请参阅 

添加和配置 Sensor 第 38 页 

选择特征码集更新方法 

要在任何时间退出向导,请单击“Resource(资源)”窗格中的“Resource Tree(资源树)”。 

在“Choose signature set update method(选择特征码集更新方法)”页中,您可以确认 Manager 上可用的最新特征码 

集,并决定是否需要从更新服务器下载最新的特征码集。 

任务 

1 指出您要如何获得最新特征码集: 

• 从本地目录中导入特征码集:您可以从本地目录中将特征码集导入 Manager。 

• 从 McAfee 更新服务器下载最新的特征码集:您可以从 McAfee ® Network Security 更新服务器(更新服务器)下 

载最新的特征码集。 

• “Skip Update Server authentication and signature set download(跳过更新服务器身份验证和特征码集下载)”使 

用此选项以继续使用在 Manager 安装过程中得到的默认特征码集。 

• 


任务 

• 下载最新的特征码集第 39 页 

“Choose signature set method(选择特征码集方法)”页显示了 Manager 上当前可用的特征码集的版本。 

• 从本地目录中导入特征码集第 40 页 

另请参阅 


下载最新的特征码集 

要从更新服务器下载最新的特征码集,请执行以下操作: 

任务 

1 在“Choose signature set update method(选择特征码集更新方法)”页中,选择“McAfee Update Server(McAfee 更 

新服务器)”选项。 


此时将显示“Authentication(身份验证)”页。 

3 输入 McAfee 提供的“Customer ID(客户 ID)”和“Customer password(客户密码)”。 


可用的特征码集即会列出。 


使用向导安装 Sensor 4 


4 



5 选择所需的特征码集版本,然后单击“Next(下一步)”。 

此时将显示“Signature set download status(特征码集下载状态)”页。 

6 下载完成后,单击“Next(下一步)”。 

特征码集下载完成后,即会出现“Add a Sensor(添加 Sensor)”页。 

另请参阅 


从本地目录中导入特征码集 

要从本地目录中导入特征码集,请执行以下操作: 

任务 

1 在“Choose signature set update method(选择特征码集更新方法)”页中,选择“Import signature set from local 

directory(从本地目录中导入特征码集)”选项。 


此时将显示“Import Attack Set(导入攻击集)”页。 

3 单击“Browse(浏览)”以从目录中选择文件。 


此时将显示“Import Status(导入状态)”。 

特征码集推送完成后,即会出现“Add a Sensor(添加 Sensor)”页。 

另请参阅 


将 Sensor 添加到 Manager 中 

要添加 Sensor,请执行以下操作: 

任务 

1 单击“/Device List(设备列表)节点” | “Device List(设备列表)” | “Devices(设备)”。单击“New(新 

建)”。 

2 在“Add New Device(添加新设备)”对话框中输入相关详细信息。 

a 输入“Device Name(设备名称)”。 

Sensor 名称必须以字母开头。该名称的最大长度为 25 个字符。 

b 输入“Sensor Type(Sensor 类型)”:“IPS or NAC Sensor(IPS 或 NAC Sensor)”、“Virtual HIP Sensor(虚拟 

HIP Sensor)”或“NTBA Appliance”。 

c 输入“Shared Secret(共享密钥)”。再次输入以进行确认。 


共享密钥的长度最少必须包含 8 个字符,最多不能超过 25 个字符。密钥不能以感叹号开头,且不能有空格。可 

以用来定义密钥的参数有: 

• 26 个字母:大小写(a、b、c...z 和 A、B、C...Z) 

• 10 个数字:0 1 2 3 4 5 6 7 8 9 

• 32 个符号:~ ` ! @ # $ % ^ & * ( ) _ + ‑ = [ ] { } \ | ; : " ' , .

4 



2 在出现登录提示时,使用默认用户名 

admin 和密码 admin123 登录到 Sensor。 

出于安全目的,McAfee 强烈建议您随后更改默认密码。 

3 设置 Sensor 的名称。在提示符处键入:set Sensor name 

示例:set Sensor name Engineering_Sensor1。 

Sensor 名称是一个区分大小写的字母数字字符串,最长可含有 25 个字符。此字符串可包括连字符、下划线和点号, 

但开头必须是字母。 

4 设置 Sensor 的 IP 地址和子网掩码。在提示符处键入:set Sensor ip 

指定 32 位的地址,由四个用点分隔的八位字节组成:X.X.X.X,其中 X 是介于 0 到 255 之间的数字。例如:set 

Sensor ip 192.34.2.8 255.255.255.0 

第一次设置 IP 地址(即初次配置 Sensor)时,无需重新启动 Sensor。但以后更改 IP 地址时,必须重新启动 Sensor 

才能使更改生效。如果需要重新启动,CLI 会进行提示。有关重新启动的信息,请参阅“McAfee Network Security 

Platform 故障排除手册”。 

5 如果 Sensor 与 Manager 不在同一个网络上,请设置默认网关地址。在提示符处键入:set Sensor gateway 

此处所使用的约定应与 Sensor IP 地址的约定相同。例如:set Sensor gateway 192.34.2.8。 

6 设置 Manager 服务器的 IP 地址。在提示符处键入: 

set Manager ip 。 

此处所使用的约定应与 Sensor IP 地址的约定相同。示例:set Manager ip 192.34.3.2。 

7 从 Sensor ping Manager,以确定到目前为止的配置设置是否已在网络上成功建立 Sensor。在提示符处键入: 

ping 。 

如果 ping 成功,继续执行以下步骤。如果没有成功,请键入“show”验证配置信息,检查以确保所有信息都是正确 

的。如果遇到任何困难,请参阅“McAfee Network Security Platform 故障排除手册”。 

8 设置 Sensor 的共享密钥值。此共享密钥值用于建立 Sensor 与 Manager 之间的信任关系。在提示符处键入: 

set Sensor sharedsecretkey。 

然后 Sensor 会提示您输入共享密钥值。在提示符处键入共享密钥值。接着 Sensor 会提示您验证该值。此时请再次 

键入该值。 

共享密钥值必须是字符数在 8 到 25 个之间的 ASCII 文本。共享密钥值区分大小写。示例:IPSkey123 

9 更改 Sensor 密码(可选,但建议执行)。在提示符处键入: 

passwd。 

Sensor 会提示您输入新密码,也会询问旧密码。 

密码长度必须介于 8 到 25 个字符之间,且区分大小写,可包括任何字母数字字符或符号。 

10 要退出会话,请键入 exit。 

11 切换回“Sensor Installation Wizard(Sensor 安装向导)”,以继续进行 Sensor 安装。此时您位于“Sensor Discovery 

(Sensor 查找)”页。 


另请参阅 



查看 Sensor 的查找状态 

“Sensor [Sensor_name] Discovery Status(Sensor [Sensor 名称] 查找状态)”页显示了 Sensor 与 Manager 之间是否已 

建立连接。 

如果尚未添加 Sensor,或者您输入了错误的共享密钥,请单击“Re‑try discovery(再次查找)”并提供正确的详细信息。 

下面介绍了该页上的操作按钮: 

表 4-1 

字段描述 

Back(上一步) 返回到“Add Sensor(添加 Sensor)”页。 

Cancel(取消) 取消在网络中查找 Sensor 的过程。 

Re‑try Discovery(再次查找) 再次开始查找过程。 

Next(下一步) 前进到“Edit Port configuration to Sensor(编辑 Sensor 的端口配置)”页以便为 Sensor 

配置端口。 

任务 

• 当 Sensor 查找状态为“完成”时,请单击“Next(下一步)”。 

指定 Sensor 上的端口配置 

此时将显示“Edit Port Configuration(编辑端口配置)”页。 

您可以编辑特定端口的配置。要编辑端口的配置,请执行以下操作: 

任务 

1 从显示的端口列表中选择一个端口。 

2 单击“Edit(编辑)”。 

3 从“Operation Mode(工作模式)”列表中为端口选择一种工作模式: 

• 串联失效打开 

• 内部 Tap 


使用向导安装 Sensor 4 


4 



• SPAN 或集线器 

• 串联失效关闭 

4 使用“Port Connected Network(端口连接的网络)”列表指定要从内部还是外部来连接端口: 

• 端口 A(内部)端口 B(外部) 

• 端口 A(外部)端口 B(内部) 

• 未指定 


此时将显示“Assign policies to Sensor(为 Sensor 分配策略)”页。从策略列表中选择策略,并将策略应用于 

Sensor。 

另请参阅 


将策略应用到 Sensor 上的接口 

任务 

1 选择策略,并将其应用到 Sensor,默认情况下应用的策略是“Default Inline IPS(默认串联 IPS)”策略。 

2 如有必要,请更改对 Sensor 接口应用的策略。 


默认情况下,所有接口都从 Sensor 继承同一个策略。Sensor 会继承父管理域中的策略,并且在默认情况下应用默认 

串联 IPS 策略。 

此时将显示“Signature Set Push Status(特征码集推送状态)”页。 

另请参阅 


将配置推送到 Sensor 

任务 

1 单击“Next(下一步)”以将配置信息推送到 Sensor。 

此时将显示“Signature Set Push Status(特征码集推送状态)”页。 


此时将显示“Sensor Installation Summary(Sensor 安装摘要)”页。 

另请参阅 


查看 Sensor 安装摘要页 

在成功安装 Sensor 后,即会显示“Sensor Installation Summary(Sensor 安装摘要)”页。 

其中显示以下字段: 

字段描述 

Sensor Name(Sensor 名称) Sensor 的名称 

Sensor Model(Sensor 型号) Sensor 的型号 

Trust Status(信任状态) 信任的状态:已建立或尚未建立 


字段描述 

Applied Signature Set(已应用的特征码集) 已应用于 Sensor 的特征码集版本号 

Interface Name(接口名称) Sensor 上的端口 

Operation Status(工作状态) 端口的状态:启用或禁用 

IP 设置 Sensor 的 IP 地址 

Mask(掩码) 设置 Sensor 的子网掩码 

Gateway(网关) 设置默认网关地址 

VLAN ID 设置监控端口的 VLAN ID。 

任务 

1 单击“Done(完成)”。 

“Installation Wizard(安装向导)”欢迎页即会显示,您可以通过此页面安装另一个 Sensor。 

2 重复上述步骤以添加和配置另一个 Sensor。 

3 单击“Resource(资源)”窗格中的“Resource Tree(资源树)”,以退出该向导。 

另请参阅 



“Device List(设备列表)”节点下共有四个个选项卡:“Devices(设备)”(设备列表)、“Configuration Update(配置更 

新)”(将配置下载到设备)、“Software Upgrade(软件升级)”和 “Failover Paris(故障转移对)”。通过这些选项卡可以执 

行以下操作: 

• 管理设备:将设备添加到 Manager;接受已初始化、已实际安装且有网络连接的设备(如 IPS Sensor、NAC 

Sensor、NTBA Appliance 或虚拟 HIP Sensor)向 Manager 发出的通信。 

• 更新所有设备的配置:只有在执行“Device List(设备列表)” | “Configuration Update(配置更新)” | “Update(更新)” 

(用于更新域中的所有 Sensor)或者“Device List(设备列表)”“Sensor_Name(Sensor 名称)” | “Configuration Update 

(配置更新)” | “Update(更新)”(用于更新单个 Sensor)操作之后,通过“Configuration(配置)”页对 Sensor 进行的 

所有更改才会推送到 Sensor。 

• 将软件更新应用于所有设备:通过 McAfee ® Network Security 更新服务器 [以前称为 IPS 更新服务器] 从 Manager 

下载软件和特征码文件。 

• 创建故障转移对:将两个设备配对以实现故障转移操作。 

项目描述 

1 父节点(设备列表) 

2 物理资源(“Device_Name(设备名称)”或“NTBA_Appliance_Name(NTBA Appliance 名称)”节点) 

3 “Host Intrusion Prevention”节点 ‑ 当启用了与 McAfee Host Intrusion Prevention 的集成时显示。 

4 “Failover pair_Name(故障转移对名称)”节点 

5 设备选项卡和操作 

6 当前导航 

另请参阅 


更新所有设备上最新的软件映像第 49 页 


设备列表节点可能的操作 4 


4 



设备页中可用的选项 

“Devices(设备)”操作提供了一个只读视图,其中含有设备节点下添加的所有设备的工作和状态详细信息。该视图显示 

了所安装的每个设备及其对应的类型、工作端口、工作模式、管理状态和工作状态。 

使用此页,可以将物理设备(如 IPS Sensor、NAC Sensor 或 NTBA Appliance)配置到 Manager。在“Device List(设备 

列表)”节点上添加设备以后,必须通过执行 setup CLI 命令在该设备与 Manager 之间建立通信。 

您还可以使用此页将虚拟 HIP Sensor 添加到 Manager。使用 McAfee ePO 控制台可以为虚拟 HIP Sensor 建立信任关 

系。 

另请参阅 

添加设备第 46 页 

编辑设备设置第 47 页 

添加设备 

将设备添加到 Manager 后,Manager 即接受来自实际安装且与网络相连的设备的通信。建立通信之后,Manager 允许 

编辑设备配置。可以在 Threat Analyzer 和报告查询中查看警报数据。 

McAfee 建议您“first(首先)”将设备添加到 Manager。然后按照“McAfee Network Security Platform 安装手册”中描述的方 

法,使用命令行界面 (CLI) 输入设备标识和通信所需的信息。如果首先安装设备,那么,在添加到 Manager 之后,需要 

返回到设备以重设共享密钥,才能开始设备与 Manager 间的通信。 

要将设备添加到 Manager,请执行以下操作: 

任务 

1 选择“/Device List(设备列表)节点” | “Device List(设备列表)” | “Devices(设备)”。 

2 单击“New(新建)”。 

此时将显示“Add New Device(添加新设备)”页。 

3 键入“Device Name(设备名称)”。 

“Name(名称)”必须以字母开头。不能配置“Name(名称)”的长度。 

4 选择“Device Type(设备类型)”:“IPS or NAC Sensor(IPS 或 NAC Sensor)”、“Virtual HIP Sensor(虚拟 HIP 

Sensor)”或“NTBA Appliance”。 

有关虚拟 HIP 设备与 Host Intrusion Prevention 集成的详细信息,请参阅“McAfee Network Security Platform 集成手 

册”。 

5 输入“Shared Secret(共享密钥)”,并在“Confirm Shared Secret(确认共享密钥)”处再次输入。 

• 共享密钥“minimum of 8 characters in length(长度必须至少为 8 个字符)”:共享密钥的长度是不可配置的。共享 

密钥“不能”以感叹号开头,且不能有空格。创建共享密钥时可以使用的字符包括: 

• 26 个字母:大小写(a、b、c...z 和 A、B、C...Z) 

• 10 个数字:0 1 2 3 4 5 6 7 8 9 

• 32 个符号:~ ` ! @ # $ % ^ & * ( ) _ + ‑ = [ ] { } \ | ; : " ' , .

7 键入“Contact Information(联系信息)”和“Location(位置)”。 

8 单击“Save(保存)”启动 Manager 与设备的握手过程。 

另请参阅 

设备页中可用的选项第 46 页 

为脱机设备下载软件更新文件第 50 页 

为每台设备管理配置第 4 页 

编辑设备设置 

您可以编辑除“Device Type(设备类型)”以外的所有参数。共享密钥最需要注意。如果想要重新确保系统的完整性,则 

可以更改共享密钥。 

McAfee 建议首先从 Manager 更改“Shared Secret(共享密钥)”。这样不需要立即通过设备 CLI 更改共享密钥, 

Manager 和设备之间将继续进行通信。但是,如果在 CLI 上更新共享密钥,则必须通过这一操作键入相同的值。 

要编辑设备,请执行以下操作: 

任务 

1 选择“ /Device List(设备列表)” | “Device List(设备列表)” | “Devices(设备)”。 

2 选择设备。 


4 进行必要的更改。 

5 单击“Save(保存)”以保存更改;单击“Cancel(取消)”以放弃。 

双星号指示该字段的数据缺失,或已从数据库(而不是设备)检索到该数据。这可能表示设备处于不活动状态或未被 

初始化。 

另请参阅 

设备页中可用的选项第 46 页 

删除设备配置 

要删除之前添加的设备,请从“Device(设备)”主窗口中选择设备,然后单击“Delete(删除)”。单击“OK(确定)”以确认 

删除。 

如果计划生成特定于某一设备的数据报告,则不要从 Manager 中删除该设备。 

如果设备正在与数据库进行通信,则可能会无法成功删除设备(设备仍出现在资源树中)。如果遇到这种问题,请检查设 

备,确保设备与 Manager 之间不存在通信,然后重试删除操作。 

更新设备配置 

“Configuration Update(配置更新)”操作将向“Device List(设备列表)”节点下所列出的所有 Sensor 和 NTBA 

Appliance 发送配置更改、特征码更新和策略更改。 

与 Sensor 相关的配置更新指 Sensor 和接口/子接口配置(如端口配置、非标准端口、接口流量类型等)的所有更改。 

与 NTBA Appliance 相关的配置更新指在“NTBA Settings(NTBA 设置)”节点的各类选项卡中作出的配置更改。 

策略更改会在出现新应用的策略或对当前实施的策略进行更改的情况下更新 Sensor 或 NTBA Appliance。 

特征码更新包含新的特征码或经过修改的特征码,可以将其应用到已在应用策略中实施的攻击。 




4 



“Configuration Update(配置更新)”操作会更新多个 Sensor 或 NTBA Appliance,但在更新过程中,同一时刻只向一个 

Sensor 或 NTBA Appliance 传输更新。 

Manager 提供了一个选项,通过选择“Device List(设备列表)” | “Configuration Update(配置更新)”下的“Update(更 

新)”字段中的设备可同时执行 Sensor 或 NTBA Appliance 更新。 

只有执行“Device List(设备列表)” | “Configuration Update(配置更新)”或“Device List(设备列表)/” | 

“Physical Device(物理设备)” | “Configuration Update(配置更新)”操作后,更改才会推送到设备。 

按照以下过程可更新多个设备的配置: 

任务 

1 选择“Device List(设备列表)” | “Configuration Update(配置更新)”。 

即会显示“Configuration Update(配置更新)”页。 

图 4-1 配置更新页 

表中的列如下: 

• “Device Name(设备名称)”‑ 每个设备的唯一名称 

• “Last Update(上次更新时间)”‑ 上次更新设备配置的日期和时间 

• “Updating Mode(更新模式)”‑ 为设备选择的联机或脱机更新机制 

• “Pending Changes(挂起的更改)”‑ 所做更改摘要。 

• “Configuration & Signature Set(配置和特征码集)”‑ 选定此复选框表示需要更新设备,从而对设备进行除 SSL 

密钥管理之外的任何配置更改。 

• “Status(状态)”‑ 显示配置更新的状态 

如果已对设备的配置进行更改,则“Update(更新)”列在默认情况下处于选中状态。 


2 单击“Update(更新)”。 

如果要更新多个设备,则一次更新一个设备,直至完成所有下载。 

• 单击“Offline Update Files(脱机更新文件)”查看并导出脱机 Sensor。 

• 单击“Refresh(刷新)”在重新启动后查看新的设备软件版本。 

• 单击“Clear Status(清除状态)”以清除缓存的状态。 

“Configuration Update(配置更新)”选项在 Manager 的以下路径中可用: 

• “” | “” | “Device List(设备列表)” | 

“Configuration Update(配置更新)”‑ 适用于“Device List(设备列表)”节点下列出的所有设备。 

• “

4 



4 选择“Sensor(s)”以在“Upgrade(升级)”列中更新。 

Manager 提供此选项来同时执行多个 Sensor 的软件升级。 

默认情况下,重新启动选项处于禁用状态。只有在选择升级列中的 Sensor 后,才能启用。尽管对应 Sensor 的无中断 

重启选项可用,此选项也会触发完全重启。可根据需要禁用重新启动选项。 

图 4-2 “Download Software to Devices(将软件下载到设备)”页 

5 单击“Upgrade(升级)”。 

6 “Offline Upgrade Files(脱机升级文件)”用于更新和导出脱机 Sensor。 

单击“Refresh(刷新)”可以在重新启动后查看新的 Sensor 软件版本。 

单击“Clear Status(清除状态)”用于清除缓存的状态。 

另请参阅 

设备列表节点可能的操作第 45 页 


为脱机设备下载软件更新文件 

一些用户可能需要管理通过带宽较低的链路(如拨号链路)连接到 Manager 的设备。除了低带宽以外,这些链路还可能 

会断断续续,而且可能会中断大型文件的下载。为缓解此问题,Manager 提供了一个选项,用于为设备生成特征码集文 

件和/或软件更新文件并将这些文件存储到所提供的 CD 上。用户可以将此 CD 带到到远程位置,然后使用 TFTP 服务器 

将文件传输到设备。 


将使用对称密钥密码对更新文件进行加密。下载内容中包含经过加密的特征码集文件和/或映像文件,以及一个包含所创 

建下载的详细信息的元信息文件。这三个文件将一起打包,以创建一个可以保存在 CD 中然后通过 TFTP 上载到设备的 

下载文件。如下图所示: 

图 4-3 加密过程 

N‑450 设备不支持为脱机设备下载软件更新文件。 

另请参阅 

将新设备配置为进行脱机特征码集更新第 51 页 

为脱机设备更新配置第 52 页 

为脱机设备更新软件第 55 页 

将现有设备配置为进行脱机特征码集更新第 52 页 

为脱机设备导出软件第 54 页 

为脱机设备导出软件第 56 页 




将新设备配置为进行脱机特征码集更新 

Manager 提供了一个选项,可用于生成特征码集文件和/或设备映像文件并将其存储在应用程序目录中。您可以将生成 

的文件导出到某个目录或 CD 中,并亲自将此 CD 带到到远程位置,然后使用 TFTP 服务器将文件传输到设备。 

在添加新设备时,可以选择设备的“更新机制”模式。默认情况下,添加到 Manager 的所有设备的更新模式均为“Online 

(联机)”。处于“Online(联机)”更新模式的设备会将特征码集/软件直接推送到设备(与过去相同)。如果希望手动将特征 

码集/软件推送到设备,请选择“Offline(脱机)”更新模式。您以后可以根据需要编辑更新模式。 

按以下步骤操作可以将新设备配置为“Offline(脱机)”更新: 

任务 

1 单击“/Device List(设备列表)” | “Devices(设备)”。 


此时将显示“Add New Device(添加新设备)”页。 




4 



3 在“Device Name(设备名称)”中输入名称,在“Device Type(设备类型)”中选择“IPS or NAC Sensor(IPS 或 NAC 

Sensor)”,在“Shared Secret(共享密钥)”中输入共享密钥,在“Confirm Shared Secret(确认共享密钥)”中输入同样 

的共享密钥。 

4 对于“Updating Mode(更新模式)”选择“Offline(脱机)”,然后单击“Save(保存)”。 

该设备将配置为进行脱机更新。 

故障转移对的主设备上配置的“Updating Mode(更新模式)”决定了所生成的、可供下载的特征码文件。 

如果将主设备的“Updating Mode(更新模式)”配置为“Offline(脱机)”,则会为主设备和次设备分别生成两个单独的特 

征码文件,而与次设备的配置无关。 

如果将主设备的“Updating Mode(更新模式)”配置为“Online(联机)”,则会将特征码文件联机下载到这两个设备,而 

与次设备的配置无关。 

另请参阅 


将现有设备配置为进行脱机特征码集更新 

按照以下过程可以将现有设备配置为进行脱机特征码集更新: 

任务 

1 单击“ / Device List(/设备列表)” | “Devices(设备)”查看所配置设备的列表。 

2 选择所需的设备并单击“Edit(编辑)”。对于“Updating Mode(更新模式)”选择“Offline(脱机)”,然后单击“Save(保 

存)”。 

3 将显示一个确认编辑成功的信息框。该设备将配置为进行脱机更新。 


如果将主设备的“Updating Mode(更新模式)”配置为“Offline(脱机)”,则会为主设备和次设备分别生成两个单独的特 

征码文件,而与次设备的配置无关。 



另请参阅 


为脱机设备更新配置 

按照以下过程可以为脱机设备更新设备配置: 


任务 



1 单击“ / IPS Settings(/IPS 设置)” | “Configuration Update(配置更新)” | “IPS Sensors”。 

2 “Configuration Update(配置更新)”下列出了可为其下载配置的设备列表。对于在“Updating Mode(更新模式)”列中 

列为“Offline(脱机)”的设备,请选中“Configuration Update(配置更新)”复选框。单击“Update(更新)”。 

3 更新将列在“Device List(设备列表)”节点“Configuration Update(配置更新)”选项卡中的“Sigfile for Offline Sensors 

(脱机 Sensor 的特征码文件)”下,且可以导出。 


4 




如果将主设备的“Updating Mode(更新模式)”配置为“Offline(脱机)”,则会为主设备和次设备分别生成一个特征码文 

件,而与次设备的配置无关。 



另请参阅 


为脱机设备导出软件 

按照以下过程可以为脱机设备导出特征码集: 

任务 

1 单击 “ / IPS Settings(/IPS 设置)” | “Configuration Update(配置更新)” | 

“IPS Sensors”。 

2 在“Available Configuration Files for Offline Devices(脱机设备的可用配置文件)”下列出的设备中,选中“Export File 

(导出文件)”列下的单选按钮。单击“Export(导出)”。 

3 选中“Save File(保存文件)”选项。单击“OK(确定)”,将特征码文件保存到本地计算机上的所需位置。 

任务 

• 对特征码集执行脱机下载第 55 页 


另请参阅 


对特征码集执行脱机下载 

对特征码集执行脱机下载: 

任务 

1 将特征码集复制到 TFTP 服务器。 

2 通过 CLI 连接到设备并配置 TFTP 服务器 IP。 

3 执行 loadconfiguration signature filename。 

4 将特征码文件复制到设备以后,在 CLI 中使用“downloadstatus”命令进行检查以获取状态。 

为脱机设备更新软件 

按照以下过程可以为脱机设备更新设备配置: 

任务 



1 单击“/Device List(设备列表)” | “Device List(设备列表)” | “Configuration Update(配置更新)” 

2 “Configuration Update(配置更新)”表下列出了可为其下载软件的设备列表。对于在“Configuration Update(配置更 

新)”列中列为“Offline(脱机)”的设备,请选中“Configuration Update(配置更新)”复选框。单击“Update(更新)”。 

3 更新将列在“Device Name(设备名称)”节点“Configuration Update(配置更新)”表中的“Available Configuration 

Files for Offline Devices(脱机设备的可用配置文件)”下,且可以导出。 


4 



另请参阅 


为脱机设备导出软件 

按照以下过程可以为脱机设备导出特征码集: 

任务 

1 单击“/Device List(设备列表)” | “Device List(设备列表)” | “Software Update(软件更新)”。 

2 选中“Export File(导出文件)”列下的单选按钮。单击“Export(导出)”。 

3 选中“Save File(保存文件)”选项。单击“OK(确定)”,将设备软件保存到所需的位置。 

任务 

• 对设备软件执行脱机下载第 56 页 

另请参阅 


对设备软件执行脱机下载 

对设备软件执行脱机下载: 

任务 

1 设置 Manager 和设备。 

2 使用“Manager” | “Update Server(更新服务器)” | “Manual Import(手动导入)”将设备映像 jar 文件导入 Manager。 


3 单击根管理域下的“Device List(设备列表)”,然后单击“Software Upgrade(软件升级)”选项卡。 

4 选择所需的设备以及要应用的映像,然后单击“Upgrade(升级)”。脱机映像在同一页面下生成,位于“Available 

Upgrade Files for Offline Devices(脱机设备的可用升级文件)”下。 

5 从 CLI 中执行 loadconfiguration imagefile name。 

6 将映像文件复制到设备以后(此操作需要一些时间),在 CLI 中使用“downloadstatus”命令进行检查以获取状态。 

7 成功加载映像之后重新启动设备。 

管理故障转移对 

“Failover Pairs(故障转移对)”选项卡包含一个操作:“Manage Network Security Platform Failover Pair(管理 Network 

Security Platform 故障转移对)”。通过此操作可以创建一个故障转移对,该故障转移对可以作为冗余网络的一部分进行 

实现。成功创建故障转移对以后,您可以通过在“Failover‑Pair‑Name(故障转移对名称)”节点中执行操作来进一步管理 

分组。 

使用“Failover Pairs(故障转移对)”选项卡可为两个相同的 Network Security Sensor 型号进行故障转移配置。“故障转移 

对”一词是指构成故障转移功能所需的一对设备,它们应以“主‑次”结构组合。对“主‑次”的指定纯粹是为了配置,与设备本 

身是否为活动设备没有关系。确定主设备后,Manager 将保留其配置,并将其复制到次设备。两个设备都会从 

Manager 接收配置和更新更改。但次设备接收更改的方式就像直接从主设备中接收更改。如果主设备失败,次设备接收 

更改的方式将为直接从 Manager 中接收。 

故障转移对中的两个设备可以采用不同的失效打开/失效关闭设置。例如,可以将一个设备配置成失效打开,将另一个设 

备配置为失效关闭。此选项旨在用于带有配置为失效关闭的主动链路(强制通信量流过备用链路以防失效)和配置为失效 

打开的备用链路(提供持续的通信流以防两台设备都失效)的主动‑备用配置中。 

有关使用故障转移对的高可用性的详细信息,请参阅“McAfee Network Security Platform IPS 管理手册”。 

设备型号用于故障转移的端口 

I‑4010 6A 和 6B 

I‑4000 2A 和 2B 

I‑3000 6A 和 6B 

I‑2700 4A。请注意,4B 保留不用。 

I‑1400 响应端口 (R1) 

I‑1200 响应端口 (R1) 

设备型号用于故障转移的端口 

M‑8000 3A 和 3B 

M‑6050 4A。请注意,4B 保留不用。 

M‑4050 2A 

M‑3050 2A 

M‑2750 10A。请注意,未使用 10B。 

M‑1450 4A 

M‑1250 4A 

N‑450 10A 和 10B 




4 



要将两个设备配置为故障转移,请执行以下操作: 

任务 

1 单击“/Device List(设备列表)” | “Device List(设备列表)” | “Failover Pairs(故障转移对)”。 

2 单击“New(新建)”。即会打开“Add a Failover Pairs(添加故障转移对)”对话框。 

仅当“Device List(设备列表)”节点中至少有两个相同型号的设备且没有使用这两个设备创建故障转移对时,“Add(添 

加)”按钮才会在 UI 中显示。 

3 选择“Model(型号)”。故障转移对中的两个设备必须为同一型号。 

4 键入故障转移对的“Name(名称)”,用于唯一标识这一组合。 

5 从“Template Device(模板设备)”下拉菜单中选择所需的模板设备。 

6 从“Peer Device(对等设备)”下拉菜单中选择所需的对等设备。 

7 根据您的要求,针对故障转移对启用或禁用“Fail open(失效打开)”。默认情况下,该功能处于禁用状态。 

8 单击“Create(创建)”,或者单击“Cancel(取消)”以放弃。保存时,会出现一条消息,以提示故障转移对的创建需要 

一段时间。单击“OK(确定)”。新的故障转移对将作为创建时所在设备节点的子节点出现。 

导入设备许可证 

如果在创建故障转移对之后让 Threat Analyzer 窗口维持打开状态,Threat Analyzer 将继续分别报告来自主设备和次 

设备的警报,并以给定的设备名称(而不是故障转移对的名称)来标识每个设备。这样,当在两个设备上检测到完全 

相同的警报时,就会引起混乱。(在实际的故障转移工作状态中,如果两个设备检测到同一个警报,将只报告一个警 

报实例,并使用故障转移对的名称来标识设备。)重新启动 Threat Analyzer,以生成正确的警报报告。删除故障转移 

对的情况恰好相反。必须重新启动 Threat Analyzer 来查看每个台设备各自发出的警报。 

在将物理设备(Sensor 或 NTBA Appliance)添加到 Manager 之后,需要将一个许可证与该设备相关联。为此,可以 

向 Manager 中导入一个许可证,之后,Manager 会自动将该许可证绑定到相应的设备。您还可以为设备手动分配许可 

证。 

Manager 模式(IPS、NAC、NAC 及 IPS)的功能取决于导入到 Manager 的设备许可证的类型。 

导入设备许可证 

任务 

1 从电子邮件中获取文件。 

要在 M 系列 Sensor 上启用 NAC 模式,需要一个附加许可证。请与 McAfee 支持人员联系并提供设备的序列号,以 

获取附加许可证文件。 

在默认情况下,IPS 模式在 Manager 中处于启用状态。 


2 转至“Device List(设备列表)” | “Device List(设备列表)” | “Add‑On Licenses(附加许可证)”页。 

此时将显示“Device Licenses(设备许可证)”页。 

3 要导入设备许可证,请单击“Import(导入)”查看“Import License File(导入许可证文件)”对话框。 

4 单击“Browse(浏览)”,以浏览并选择从 McAfee 接收到的相应的设备许可证文件(.jar 格式)。单击“Import(导入)” 

以导入许可证文件。 

这些许可证在成功导入之后将存储在“\App\LICENSES\SensorLicense”中。 

5 如果许可证有序列号,Manager 会自动将该许可证与已添加到 Manager 中的匹配设备型号相关联。 

当选定的许可证文件不适合导入时引发的错误 

错误描述/原因 

操作失败 Manager 无法处理。 

如果选定的许可证文件不适合导入,则会引发以下错误。 

因购买了额外的功能而更改许可证 

如果要从临时许可证升级,或者为了使用额外的功能而选择升级设备(例如,从 IPS 升级到“IPS 及 NAC”),则需要 

通过导入可覆盖现有许可证的新设备许可证来更改设备许可证。这可以在 Manager 会话期间通过 Manager 来完成。 

您不必注销已打开的 Manager 会话,就可以安装新许可证。 

任务 

• 手动分配设备许可证第 59 页 



手动分配设备许可证 

手动分配设备许可证仅适用于附加许可证文件。附加许可证具有一个唯一的许可证密钥。一旦将许可证文件导入 

Manager 中,该许可证文件就可以手动分配给具有匹配型号的 M 系列 Sensor。 


4 



附加许可证仅适用于在具有 IPS 功能的 M 系列 Sensor 上激活 NAC 功能。 

还可以撤消对附加许可证的手动绑定。 

要手动分配附加许可证,请执行以下操作: 

任务 

1 在“Device Licenses(设备许可证)”页中,选择“Manual Assignment(手动分配)”。 

2 从下拉菜单中选择一个许可证。 

将显示其型号与所选 Sensor 许可证相匹配的设备。 

3 选择所需的设备,然后单击“Assign(分配)”。 

该许可证将分配给所选设备,而且会显示在“Device Licenses(设备许可证)”页中。 

4 在这里,可以取消对手动分配的设备许可证的绑定。 

为此,请从“Current License Assignments(当前的许可证分配)”中选择所需的设备,然后单击“Revoke(撤消)”。 

只有手动分配的设备许可证才能撤消。 



在“Remote Access(远程访问)”选项卡中,可以执行以下操作: 

• 添加设备登录横幅:添加要在 Sensor CLI 上显示的横幅消息 

• 配置 TACACS+ 身份验证:使用 TACACS+ 服务器对 Sensor 登录进行身份验证。 

• 管理 NMS 用户:创建 NMS 用户 

• 管理 NMS IP:添加 NMS IP 地址 

另请参阅 

添加设备登录横幅第 61 页 

添加设备登录横幅 

Network Security Platform 支持在登录到设备时在 Sensor CLI 上显示消息。您可以使用 Manager 自定义消息。 

仅在 I 系列的设备上支持设备“Banner(横幅)”。 

添加自定义的设备 CLI 消息 

任务 

1 选择“/Device List(设备列表)” | “Remote Access(远程访问)” | “Logon Banner(登录横幅)”。 

此时将显示默认的“Logon Banner(登录横幅)”消息。 

2 键入要在 Sensor CLI 上显示的文本消息。 

最多可以输入 2048 个字符。 

3 单击“Save(保存)”以保存自定义的消息。单击“Reset to System Default(重置为系统默认值)”可以还原默认的 

“Logon Banner(登录横幅)”消息。 

4 单击 “Device List / Device_Name(设备列表/设备名称)” | “Physical Device(物理设备)” | “Configuration Update(配 

置更新)”。 

5 查看更新信息,并选中“Configuration Update(配置更新)”复选框。 


管理远程访问 4 


4 




即会出现一个弹出窗口,显示配置下载状态。 

7 登录到 Sensor CLI 以查看自定义的消息。 

自定义的消息将显示在已配置到 Manager 中的所有设备上,并在升级/降级过程中以及执行 resetconfig 以后继续显 

示,直到在 Manager 中执行“Reset to System Default(重置为系统默认值)”。 

另请参阅 

管理远程访问第 61 页 

使用 TACACS+ 管理设备访问 

“TACACS+”选项卡支持使用 TACACS+(Terminal Access Controller Access Control System,终端访问控制器访问控制 

系统)控制用户对设备控制台的访问。通过 TACACS+,用户帐户可以集中存储和进行身份验证。TACACS+ 是一种访 

问控制协议,允许设备通过中央身份验证服务器对所有登录尝试进行身份验证。通过使用 TACACS+,管理每个设备密 

码的任务都可以简化为通过中央服务器对用户进行身份验证来进行。 

通过 Manager,您可以在管理域级别配置 TACACS+ 服务器,并允许设备继承其配置。利用相关设备的“Authentication 

(身份验证)”选项卡,您可以针对单个设备禁用此 TACACS+ 身份验证。 

配置 TACACS+ 身份验证 

通过“TACACS+” 操作,可以启用和禁用所选管理域的 TACACS+ 身份验证。 

任务 

1 选择“/Device List(设备列表)” | “Remote Access(远程访问)” | “TACACS+”。 

2 选择“Yes(是)”启用 TACACS+。 

3 输入“TACACS+ Server IP(TACACS+ 服务器 IP)”地址;最多可以为 TACACS+ 服务器输入四个 IP 地址。如果启 

用了 TACACS+,至少需要一个 IP 地址。 


4 要对 TACACS+ 流量加密,请选择“Yes(是)”“Enable Encryption?(是否启用加密?)”。 

如果选择“Yes(是)”,则需要在“Encryption Key(加密密钥)”字段中输入加密密钥。密钥的最大长度为 64 个字节。 

5 要保存所做的更改,请单击“Save(保存)”。 

对于子管理域中的“Enable TACACS(启用 TACACS+)”选项,可以使用“Inherit From Parent Domain(从父域继承)” 

选项。 

管理 SNMPv3 用户 

SNMP 版本 3 使用 SNMP 协议来简化网络设备之间的管理信息交换,从而帮助您管理自己的网络。 

使用 Manager,可以在域级别添加 SNMPv3 用户,而且可允许设备使用此配置或者在设备级别添加用户。 

在域级别创建的 SNMPv3 用户可用于设备和子域。因此,在域级别所做的更改还会反映在使用此配置的设备中和子域 

中。 

仅限于在父域级别创建的 SNMPv3 用户查看并使用子域。 

故障转移对设备中的 SNMPv3 

如果两个设备都配置了 SNMPv3,则 SNMPv3 成为故障转移对的一部分之前,系统会删除故障转移(备用)设备配置, 

并使用主设备配置来更新此配置。创建故障转移对之后完成的任何配置更改都会在这两个设备上得到更新。 

通过“SNMPv3 Users(SNMPv3 用户)”操作,可以执行以下活动: 

• 在域级别添加 SNMPv3 用户:使用身份验证密钥和专用密钥添加 NMS 用户。 

• 在域级别编辑 SNMPv3 用户:编辑身份验证密钥和专用密钥。 

• 从域中删除 SNMPv3 用户:从 NMS 数据库中删除用户。 

在“Device List(设备列表)”级别创建的 SNMPv3 用户可以添加到通过“Allocate(分配)”按钮在设备级别创建的 

SNMPv3 用户中。 

另请参阅 

使用 MIB 文件第 66 页 

在域级别添加 SNMPv3 用户第 63 页 

在域级别编辑 SNMPv3 用户第 64 页 

从域中删除 SNMPv3 用户第 64 页 

在域级别添加 SNMPv3 用户 

可以在域级别或单个设备级别添加 SNMPv3 用户。在域级别可以添加任意数目的用户,这与设备 SNMPv3 配置不同, 

后者仅限于 10 个用户。 

要在域级别添加 SNMPv3 用户,请执行以下操作: 




4 



任务 

1 选择“/Device List(设备列表)” | “Remote Access(远程访问)” | “SNMPv3 Users(SNMPv3 用户)”。 


3 输入“User Name(用户名)”。 

用户名的长度应介于 8 到 31 个字符之间。可以包含字母和数字。不允许包含特殊字符和空格。 

4 输入“Authentication Key(身份验证密钥)”(在“Confirm Authentication Key(确认身份验证密钥)”中重新输入)。 

5 输入“Private Key(专用密钥)”(在“Confirm Private Key(确认专用密钥)”中重新输入)。 

身份验证密钥和专用密钥的长度应介于 8 到 15 个字符之间。不允许包含特殊字符。 

由于通过 SNMP 3 版进行通信,因此受支持的身份验证协议为“MD5”,加密算法为“DES”。 

6 单击“Save(保存)”或“Cancel(取消)”以结束身份验证。 

在 Manager 中输入的“User Name(用户名)”、“Authentication Key(身份验证密钥)”和“Private Key(专用密钥)”应 

该与在 SNMP MIB 浏览器中输入的内容相同。 

另请参阅 

管理 SNMPv3 用户第 63 页 

在域级别编辑 SNMPv3 用户 

您只能更改在数据库中添加的已配置用户的“Authentication key(身份验证密钥)”和“Private key(专用密钥)”参数。 

要在域级别编辑 SNMPv3 用户,请执行以下操作: 

任务 

1 选择“/Device List(设备列表)” | “Remote Access(远程访问)” | “SNMPv3 Users(SNMPv3 用户)”。 


3 输入“Authentication Key(身份验证密钥)”和“Private Key(专用密钥)”(重新输入“Authentication Key(身份验证密 

钥)”并“”重新输入“Private Key(专用密钥)”)。 

4 单击“Save(保存)”。 

另请参阅 


从域中删除 SNMPv3 用户 

可以从域中删除 SNMPv3 用户。 

要删除以前添加的用户,请执行以下操作: 


任务 

1 选择“ /Device List(设备列表)” | “Remote Access(远程访问)” | “SNMPv3 Users(SNMPv3 用户)”。 

2 从“NMS User List(NMS 用户列表)”中选择用户。 

3 单击“Delete(删除)”。 

4 单击“OK(确定)”以确认删除。 

另请参阅 


已从域中删除的用户会从设备中自动删除。 

管理允许的 NMS IP 地址 

使用 Manager,可以在根管理域级别的“Device List(设备列表)”节点处添加允许的 NMS IP,而且可允许设备使用此配 

置或者在设备级别添加 IP。 

在根管理域级别的“Device List(设备列表)”节点处所添加的允许使用的 NMS IP 对于子域处的设备可用。因此,在根管 

理域级别的“Device List(设备列表)”节点处所做的更改还会反映在使用此配置的设备中和子域中。 

仅限于在父域级别创建的允许的 NMS IP 查看并使用子域。 

通过“Permitted NMS IP(允许的 NMS IP)”操作,可以执行以下活动: 

• 添加 NMS IP 地址:添加 NMS IP 地址。 

• 删除 NMS IP 地址:删除以前配置的 NMS IP 地址。 

另请参阅 

添加允许的 NMS 地址第 65 页 

删除允许的 NMS IP 地址第 66 页 

添加允许的 NMS 地址 

要(从根管理域的“Device List(设备列表)”节点)添加 NMS IP 地址,请执行以下操作: 

任务 

1 选择“/Device List(设备列表)” | “Remote Access(远程访问)” | “Permitted NMS(允许的 NMS)”。 





4 



3 此时将显示“Add NMS IP(添加 NMS IP)”页。输入“IP Address(IP 地址)”。您可以输入 IPv4 或 IPv6 地址。 

4 单击“Save(保存)”或“Cancel(取消)”以结束配置。NMS IP 将显示在“NMS IP List(NMS IP 列表)”中。 

另请参阅 

管理允许的 NMS IP 地址第 65 页 

删除允许的 NMS IP 地址 

要删除以前添加的 NMS IP 地址,请执行以下操作: 

任务 

1 选择“ /Device List(设备列表)” | “Remote Access(远程访问)” | “Permitted NMS(允许的 NMS)”。 

2 从列表中选择 IP 地址。 



另请参阅 

管理允许的 NMS IP 地址第 65 页 

使用 Sensor MIB 文件 

Sensor 可以在只读基础上从第三方 NMS 进行监控。 

第三方 NMS (SNMP over IPv6) 仅在 I 系列 Sensor 的 8500 端口上受支持。NMS 不适用于 I 系列 Sensor 的默认端口 

161。 

McAfee MIB 文件 

可用 MIB 文件位于 

\config\mibs 

,由以下文件组成: 

• McAfee‑TC:McAfee 企业的文本约定。 

• McAfee‑SMI:McAfee 企业的管理信息结构。 

• McAfee‑SENSOR‑CONF‑MIB:Sensor 配置 MIB。 

• McAfee‑SENSOR‑CONF‑MIB:Sensor 配置 MIB。 

• McAfee‑SENSOR‑SMI:Sensor 的管理信息结构。 

• McAfee‑INTRUVERT‑EMS‑TRAP‑MIB:用于将 SNMP 陷阱消息从 Manager 发送到 Sensor。 

使用 MIB 文件 

执行以下步骤可以将第三方 NMS 配置为访问 Sensor MIB。 

要配置 Sensor,请执行以下操作: 


任务 

1 使用 Manager 将每个需要拥有 SNMP 访问权限的 NMS 的 IP 地址添加到 Sensor。 

2 创建一个 SNMPv3 关联列表,这些关联为用户提供对 Sensor MIB 的只读访问权限。 

3 将 Sensor MIB 加载到第三方 NMS 上并进行编译,以查询 MIB 对象。 

有关如何为一些常用 NMS 应用程序执行此操作的说明,请参考下面一节。 

另请参阅 


将 MIB 加载到第三方 NMS 中并进行编译 

大多数 NMS 都会为用户提供某种方法来加载 MIB。加载 MIB 是 NMS 了解新 MIB 对象(例如其名称、对象标识符 

(OID) 和数据类型)的一种途径。 

有关 MIB 加载和编译的信息,请查阅第三方 NMS 的文档。本文档包括 HP OpenView 和 IBM NetView 的说明;但因为 

这些产品可能有更改,所以您仍要查询 HP 或 IBM 文档。 

从 HP OpenView 或 IBM NetView 的 UI 

执行以下步骤可以加载 Network Security Platform MIB: 

任务 


1 将这些文件复制到网络管理服务器的“/usr/OV/snmp_mibs”目录中。这是 HP OpenView 和 IBM NetView 查找 MIB 文 

档的默认目录。如果将 MIB 文档放在其他位置,请在 load mib 图形界面中明确指定路径名。 

2 设置权限,以便您具有对 MIB 的读访问权限。 

3 在 GUI 菜单中,选择“Options(选项)” | “Load/Unload MIBs(加载/卸载 MIB)”。 

4 要编译或加载 MIB,请按照平台文档中的说明执行操作。 

从 HP OpenView 或 IBM NetView 的 CLI 

要加载 MIB 文件,请发出以下命令。 

/opt/OV/bin/xnmloadmib ‑load filename 

设备“Performance Monitoring(性能监控)”功能提供了一种实用的方法,用来监控 Manager 中所配置设备的负载。通过 

可在 Manager 界面中配置和监控的指标,可制定主动式容量规划。指标和阈值提供了一种非常容易的方法来将设备作 

为网络故障的根本原因隔离,或将其作为故障原因来排除故障。可以通过“实时”(每隔几秒)查看各种关键指标的值来了 

解设备在任意给定的时段内的运行状况。可以通过设备“Performance Monitoring(性能监控)”决定容量规划,以确定何 

时替换设备以支持更大的容量。当需要用更多信息来识别故障发生的位置时,故障排除是一种特殊的使用方案。 

如果您使用的是 MDR,设备将尝试向两个 Manager 发送警报和系统事件。如果其中一个 Manager 无法访问,则只有可 

访问的 Manager 将接收该事件。同样地,只会在可访问的 Manager 中生成“Performance Monitoring(性能监控)”阈值警 

报。因此,Manager 中的某些警报有可能会漏掉或未予清除。 

N‑450 设备无法进行设备性能监控。 

另请参阅 

查看设备性能设置摘要第 68 页 

自定义指标显示第 86 页 

启用设备性能监控第 69 页 


配置和监控设备性能 4 


4 



查看设备性能设置摘要 

设备性能指标和阈值可以通过根管理域和子管理域中“Device list(设备列表)”节点以及“device_name(设备名称)”节点 

中的设备“Performance(性能)”选项卡进行配置。 

单击以下任意选项即可查看“Summary(摘要)”选项卡: 

任务 

1 从根管理域的“Device List(设备列表)”节点中: 

“/Device List(设备列表)” | “Performance Monitoring(性能监控)” | “Summary(摘要)” 

2 从子管理域的“Device List(设备列表)”节点中: 


3 从“Device_Name(设备名称)”节点中: 

“或/Device List(设备列表)/device_name(设备名称)” | “Performance Monitoring(性能监 

控)” | “Summary(摘要)” 

4 从根管理域的“Device List(设备列表)”/“Failover Pair(故障转移对)”节点中: 

“/Device List(设备列表)/Failover Pair Node(故障转移对节点)” | “Performance Monitoring(性能监 


“Performance Monitoring(性能监控)”选项卡有五个子选项卡,即“Summary(摘要)”、“Enable(启用)”、“Metrics 

(指标)”、“Thresholds(阈值)”和“Display(显示)”。“Summary(摘要)”页概括了“Enable(启用)”、“Metrics(指 

标)”、“Thresholds(阈值)”和“Display(显示)”选项卡中的设备性能监控设置。“Summary(摘要)”选项卡下方显示的 

值为“只读”信息。 

另请参阅 

配置和监控设备性能第 67 页 


启用设备性能监控 

设备“Performance Monitoring(性能监控)”的整体状态可以在设备“Performance(性能)”选项卡的 “Enable(启用)”子选 

项卡中进行控制。设备“Performance Monitoring(性能监控)”可以通过 Manager 以下位置中相关的选项设置启用: 

任务 


“/Device List(设备列表)” | “Performance Monitoring(性能监控)” | “Enable(启用)” 




任务 

“/Device List(设备列表)/device_name(设备名称)” | “Performance Monitoring(性能监控)” | 

“Enable(启用)” 

以下部分详细说明了启用设备性能监控的过程: 

• 在管理域节点启用设备性能监控 

• 在“设备名称”节点启用设备性能监控 

• 在管理域节点启用设备性能监控第 69 页 

• 在“设备名称”节点启用设备性能监控第 72 页 

另请参阅 


在管理域节点启用设备性能监控 

根管理域节点 

从管理域的“Device list(设备列表)”节点访问时,“Enable(启用)”页用于在管理域级别控制设备的“Performance Monitoring 

(性能监控)”整体状态。 

可以从设备收集性能“Metrics(指标)”并用于生成性能相关的图形和报告。“Enable(启用)”页提供了用来启用或禁用性能 

指标收集的选项。 

按照以下过程可以在管理域级别启用或禁用指标收集: 

任务 

1 单击“/Device List(设备列表)” | “Performance Monitoring(性能监控)” | “Enable(启用)”。 

2 对“Performance metrics are collected from Sensors and used to produce performance‑related graphs and reports. 

Would you like to enable performance metric collection?(将从 Sensor 中收集性能指标并用于生成与性能相关的图 

形和报告。是否要启用性能指标收集?)”选项,选择“Yes(是)”以启用指标收集,或选择“No(否)”以禁用指标收集。 

3 单击“Save(保存)”以保存您所选的设置。 




4 



任务 

• 在根管理域级别启用或禁用系统故障第 70 页 

• 启用或禁用设置对子管理域的可见性第 70 页 

• 从父管理域中启用或禁用设置继承第 71 页 

• 在子管理域级别启用或禁用指标收集第 71 页 

• 在子管理域级别启用或禁用系统故障第 71 页 

• 启用或禁用设置对子管理域的可见性第 71 页 

另请参阅 

监控 Sensor 性能指标第 88 页 

在根管理域级别启用或禁用系统故障 

当性能指标达到或超过特定阈值时,设备还可以触发系统故障。“Enable(启用)”页提供了用来启用或禁用阈值分析的选 

项。 

按照以下过程可以在根管理域级别启用或禁用系统故障: 

任务 


2 对“Sensors can also trigger system faults when performance metrics meet or exceed specific thresholds.Would 

you like to enable threshold analysis?(当性能指标达到或超过特定阈值时,Sensor 还可以触发系统故障。是否要启 

用阈值分析?)”选项,选择“Yes(是)”以启用触发系统健康状况故障,或选择“No(否)”以禁用触发系统健康状况故 

障。 


启用或禁用设置对子管理域的可见性 

子管理域可以继承性能监控设置。“Enable(启用)”页提供了用来启用或禁用设置对子管理域可见性的选项。 

按照以下过程可以启用或禁用设置对子管理域的可见性: 

任务 


2 对“Performance monitoring settings can be made available for Child Admin Domains to inherit.Would you like to 

make these setting visible to Child Admin Domains?(子管理域可以继承性能监控设置。是否要使这些设置对子管理 

域可见?)”选项,选择“Yes(是)”启用设置对子管理域的可见性,或选择“No(否)”禁用设置对子管理域的可见性。 


从子管理域的“Device list(设备列表)”节点访问时,“Enable(启用)”页用于在子管理域级别控制 Sensor 的 

“Performance Monitoring(性能监控)”整体状态。 


从父管理域中启用或禁用设置继承 

子管理域级别的“Enable(启用)”页提供的选项可用于启用或禁用子管理域相关选项的性能指标收集。子管理域还包含从 

父管理域继承或不继承设置的选项。 

按照以下过程可以启用或禁用从父管理域继承设置: 

任务 


2 选中“Inherit Settings from Parent Admin Domain?(是否从父管理域继承设置?)”复选框以从父管理域继承设置。清 

除此复选框以禁用从父管理域继承设置。 


在子管理域级别启用或禁用指标收集 

将从设备收集性能指标并用于生成性能相关的图形和报告。 

按照以下过程可以在子管理域级别启用或禁用指标收集: 

任务 


2 对“Performance metrics are collected from Sensors and used to produce performance‑related graphs and reports. 

Would you like to enable performance metric collection?(将从 Sensor 中收集性能指标并用于生成与性能相关的图 

形和报告。是否要启用性能指标收集?)”选项,选择“Yes(是)”以启用指标收集,或选择“No(否)”以禁用指标收集。 


在子管理域级别启用或禁用系统故障 


项。 

按照以下过程可以在子管理域级别启用或禁用系统故障: 

任务 





障。 


启用或禁用设置对子管理域的可见性 

子管理域可以继承性能监控设置。“Enable(启用)”页提供了用来启用或禁用设置对子管理域可见性的选项。 

按照以下过程可以启用或禁用设置对子管理域(在本例中为子管理域的子域)的可见性: 




4 



任务 

1 单击“/Device List(设备列表)” | “Sensor Performance(Sensor 性能)” | “Enable(启用)”。 

2 对“Performance monitoring settings can be made available for Child Admin Domains to inherit.Would you like to 

make these setting visible to Child Admin Domains?(子管理域可以继承性能监控设置。是否要使这些设置对子管理 

域可见?)”选项,选择“Yes(是)”启用设置对子管理域的可见性,或选择“No(否)”禁用设置对子管理域的可见性。 


如果启用了设置对子管理域的可见性,则子管理域将继承父管理域的设置。但是,子管理可以选择是否从父管理域 

继承这些设置。此处涉及的子管理域是指根管理域的子管理域,以及子管理域的子域。如果子管理域未继承这些设 

置,则该组默认设置将在子管理域级别中可操作。在子管理域级别中可对这些默认设置进行更改。如果设置对子管 

理域的可见性被禁用,则用于从管理域继承设置的复选框在子管理域级别中将呈灰显状态。 

在“设备名称”节点启用设备性能监控 

当从“Device_Name(设备名称)”节点访问“Enable(启用)”页时,该页将用于在特定设备级别控制设备的“Performance 

Monitoring(性能监控)”的整个状态。 

“Device_Name(设备名称)”节点上的“Enable(启用)”页提供了启用或禁用性能指标收集(具有与所选设备相关的选项) 

的选项。在“Device_Name(设备名称)”节点上,可选择是否从父管理域继承设置。 


任务 

1 单击“/Device List(设备列表)/Device_Name(设备名称)” | “Performance Monitoring(性能监控)” | 

“Enable(启用)”。 




任务 

• 在“设备名称”节点级别启用或禁用指标收集第 72 页 

• 在“设备名称”节点级别启用或禁用系统故障第 73 页 

另请参阅 


在“设备名称”节点级别启用或禁用指标收集 


按照以下过程可以在“Device_Name(设备名称)”节点级别启用或禁用指标收集: 


任务 


“Enable(启用)”,或者单击“/Device List(设备列表)/Failover Pair(故障转移对)节点” | 

“Performance Monitoring(性能监控)” | “Enable(启用)” 

2 对“Performance metrics are collected from devices and used to produce performance‑related graphs and reports. 

Would you like to enable performance metric collection?(将从设备中收集性能指标并用于生成与性能相关的图形和 

报告。是否要启用性能指标收集?)”选项,选择“Yes(是)”以启用指标收集,或选择“No(否)”以禁用指标收集。 


在“设备名称”节点级别启用或禁用系统故障 


项。 

按照以下过程可以在“Devices_Name(设备名称)”节点级别启用或禁用系统故障: 

任务 







障。 


配置指标收集 

可以在根管理域设备节点、子管理域设备节点以及“Device_Name(设备名称)”节点配置指标收集。启用了指标收集之 

后,设备会将核心指标自动转发到 Manager。核心指标为 Sensor CPU 利用率、Sensor TCP/UDP 流利用率以及 

Sensor 吞吐量利用率。 

另请参阅 

在管理域节点配置指标收集第 73 页 

在“设备名称”节点配置指标收集第 75 页 

在管理域节点配置指标收集 


按照以下过程可以在根管理域“Device List(设备列表)”节点上启用指标收集: 




4 



任务 

1 单击“/Device List(设备列表)” | “Performance Monitoring(性能监控)” | “Metrics(指标)”,查看“Metrics 

(指标)”页。 

2 在选项“Sensors can optionally forward CPU Utilization data. CPU sampling can affect overall Sensor 

performance, so this option should only be enabled when troubleshooting. Would you like to enable collection of 

the CPU Utilization metric?(Sensor 可以选择转发 CPU 利用率数据。CPU 采样可能会影响 Sensor 的整体性能,因 

此该选项只应当在进行故障排除时启用。是否要启用 CPU 利用率指标收集?)”旁边,选择“Yes(是)”或“No(否)”。 

默认情况下该选项处于禁用状态。 

3 在选项“Sensors can optionally forward Port Throughput Utilization data. On Sensors with many monitoring ports, 

this option can produce a large quantity of data, so it is disabled by default to optimize Manager disk space. 

Would you like to enable collection of the Port Throughput Utilization metric?(Sensor 可以选择转发端口吞吐量利用 

率。在具有许多监控端口的 Sensor 上,此选项可能会生成大量数据,因此它在默认情况下处于禁用状态,以优化 

Manager 磁盘空间。是否要启用端口吞吐量利用率指标收集?)”旁边,选择“Yes(是)”或“No(否)”。 


任务 

启用了指标收集之后,Sensor 会将核心指标自动转发到 Manager。 

• 在子域的“设备列表”节点启用指标收集第 74 页 

另请参阅 

配置指标收集第 73 页 


在子域的“设备列表”节点启用指标收集 

按照以下过程可以在子域“Device List(设备列表)”节点上启用指标收集: 

任务 

1 单击“/Device List(设备列表)” | “Performance Monitoring(性能监控)” | “Metrics(指标)”,查看“Metrics 

(指标)”页。 

2 选中“Inherit Settings from Parent Admin Domain?(是否从父管理域继承设置?)”复选框以从父管理域继承设置。如 

果无需从父管理域中继承设置,则清除此复选框。 




the CPU Utilization metric?(Sensor 可以选择转发 CPU 利用率数据。CPU 抽样可能影响整个 Sensor 性能,因此应 

该仅在出现故障时启用该选项。是否要启用 CPU 利用率指标收集?)”旁边,选择“Yes(是)”或“No(否)”。此选项仅 

在清除了“Inherit Settings from Parent Admin Domain?(是否从父管理域继承设置?)”复选框时可用。 





Manager 磁盘空间。是否要启用端口吞吐量利用率指标收集?)”旁边,选择“Yes(是)”或“No(否)”。此选项仅在清 

除了“Inherit Settings from Parent Admin Domain?(是否从父管理域继承设置?)”复选框时可用。 


启用了指标收集之后,设备会将核心指标自动转发到 Manager。此处涉及的子管理域是指根管理域的子管理域,以及 

子管理域的子域。 

在“设备名称”节点配置指标收集 

按照以下过程可以在“Device_Name(设备名称)”节点上启用指标收集: 

任务 

1 单击“//Device List(设备列表)/Device_Name(设备名称)” | “Performance Monitoring(性能监 

控)” | “Metrics(指标)”,查看“Metrics(指标)”页。 













启用了指标收集之后,设备会将核心指标自动转发到 Manager。 

另请参阅 






4 



设置阈值 

阈值可进行如下设置:通过在超过设定阈值时触发系统故障的方式,用视图来警告用户。例如,在 Sensor CPU 利用率 

超过阈值上限(如 90%)时触发系统故障。 

可以为以下项设置阈值:CPU 利用率、Sensor 吞吐量、端口吞吐量、L2 错误丢弃(此处第 2 层是指过多的 CRC 和以 

太网数据包符合性错误)和 L3/L4 错误丢弃(此处第 3/4 层是指过多的校验和以及协议错误)。可以在根管理域设备列 

表节点、子管理域设备列表节点以及“Device_Name(设备名称)”节点上对阈值进行设置。阈值页用来为选择的指标更改 

阈值,并选择在超过这些阈值时发送警报(生成系统故障)。所设的阈值表示每分钟的平均值。 

将在重新启动时刷新给定设备的阈值警告。最多可以继承两个管理域级别的设置。 

另请参阅 

在管理域节点上设置 CPU 利用率阈值第 76 页 

在管理域节点上设置 Sensor 吞吐量阈值第 78 页 

在管理域节点上设置 L2 错误丢弃阈值第 80 页 

在管理域节点上设置 L3/L4 错误丢弃阈值第 83 页 

在设备名称节点下设置端口吞吐量利用率阈值第 85 页 

在设备名称节点下设置 CPU 利用率阈值第 77 页 

在设备名称节点下设置 Sensor 吞吐量阈值第 80 页 

在设备名称节点下设置 L2 错误丢弃阈值第 82 页 

在设备名称节点下设置 L3/L4 错误丢弃阈值第 84 页 

在管理域节点上设置 CPU 利用率阈值 


按照以下过程可以在根管理域“Device List(设备列表)”节点上设置 CPU 利用率阈值。 

任务 

1 单击“/Device List(设备列表)” | “Performance Monitoring(性能监控)” | “Thresholds(阈值)”,或者单 

击 


控)” | “Thresholds(阈值)”。 

2 在“Metric(指标)”旁边的下拉列表中选择“CPU utilization(CPU 利用率)”。 

3 在“Threshold %(阈值百分比)”列中输入所需的阈值百分比(此值应比“Reset Threshold%(重置阈值百分比)”列中的 

值大)。 

4 选中“Alarm?(警报?)”复选框以启用警报。清除“Alarm?(警报?)”复选框可禁用警报。 

5 单击“Save(保存)”以保存设置。 

任务 

单击“Defaults(默认值)”,可将阈值设置设为默认值。 

• 在子管理域设备列表节点下设置 CPU 利用率阈值第 77 页 


另请参阅 

设置阈值第 76 页 


在子管理域设备列表节点下设置 CPU 利用率阈值 

按照以下过程可以在子管理域“Device List(设备列表)”节点上设置 CPU 利用率阈值。 

任务 

1 单击“/Device List(/设备列表)” | “Performance Monitoring(性能监控)” | 

“Thresholds(阈值)”。 

2 在“Metric(指标)”旁边的下拉列表中选择“CPU utilization(CPU 利用率)”。 


值大)。 



单击“Defaults(默认值)”,可将阈值设置设为默认值。仅在“Inherit Settings from Parent Admin Domain?(是否从父 

管理域继承设置?)”复选框处于清除状态时,才能对阈值进行更改。如果此复选框处于选中状态,将自动继承父管理域 

中的设置。 

在设备名称节点下设置 CPU 利用率阈值 

按照以下过程可以在“Device_Name(设备名称)”节点上设置 CPU 利用率阈值。 




4 



任务 


“Thresholds(阈值)”或者单击 



2 在“Metric(指标)”旁边的下拉列表中选择“CPU Utilization(CPU 利用率)”。 


值大)。 




另请参阅 



在管理域节点上设置 Sensor 吞吐量阈值 


按照以下过程可以在根管理域节点上设置 Sensor 吞吐量阈值。 

任务 

1 单击“/Device List(设备列表)/>Performance Monitoring(性能监控)” | “Thresholds(阈值)”或者单击 



2 在“Metric(指标)”旁边的下拉列表中选择“Sensor Throughput Utilization(Sensor 吞吐量利用率)”。 



值大)。 



任务 

单击“Defaults(默认值)”,可将阈值设置设为默认值。“利用率以下”在吞吐量利用率阈值环境中显示为“下降阈值”。当 

吞吐量百分比下降到某个特定值时,就会产生警报。这对于十分繁忙的网络很有用,因为您总是可以看见特定的流 

量。当网络上出现通信问题时,此类型的警报是一个很有用的指示。 

默认情况下,在根域中 Sensor 吞吐量阈值的“High Utilization(高利用率)”设置为启用状态,而其余部分处于禁用状 

态。 

• 在子管理域节点上设置 Sensor 吞吐量阈值第 79 页 

另请参阅 



在子管理域节点上设置 Sensor 吞吐量阈值 

按照以下过程可以在子管理域节点上设置的 Sensor 吞吐量阈值。 

任务 





值大)。 









4 



在设备名称节点下设置 Sensor 吞吐量阈值 

按照以下过程可以在“Device_Name(设备名称)”节点上设置 Sensor 吞吐量阈值。 

任务 







值大)。 






另请参阅 



在管理域节点上设置 L2 错误丢弃阈值 


按照以下过程可以在根管理域节点上设置 L2 丢弃阈值。 


任务 


击 



图 5-4 “Thresholds(阈值)”页 

2 在“Metric(指标)”旁边的下拉列表中选择“L2 Error Drop(L2 错误丢弃)”。 

3 在“Threshold(阈值)”列中输入所需的阈值百分比(此值应比“Reset Threshold(重置阈值)”列中的值大)。 



任务 


• 在子管理域设备列表节点下设置 L2 错误丢弃阈值第 81 页 

另请参阅 


在子管理域设备列表节点下设置 L2 错误丢弃阈值 

按照以下过程可以在子管理域“Device List(设备列表)”节点上设置 L2 错误丢弃阈值。 




4 



任务 










在设备名称节点下设置 L2 错误丢弃阈值 

按照以下过程可以在“Device_Name(设备名称)”节点上设置 L2 错误丢弃阈值。 

任务 





值大)。 



5 单击“Save(保存)”以“save(保存)”设置。 

另请参阅 



在管理域节点上设置 L3/L4 错误丢弃阈值 


按照以下过程可以在根管理域节点上设置 L3/L4 丢弃阈值。 

任务 


击 



2 在“Metric(指标)”旁边的下拉列表中选择“L3/L4 Error Drop(L3/L4 错误丢弃)”。 




任务 


• 在子管理域设备列表节点下设置 L3/L4 错误丢弃阈值第 83 页 

另请参阅 


在子管理域设备列表节点下设置 L3/L4 错误丢弃阈值 

按照以下过程可以在子管理域“Device List(设备列表)”节点上设置 L3/L4 错误丢弃阈值。 




4 



任务 










在设备名称节点下设置 L3/L4 错误丢弃阈值 

按照以下过程可以在“Device_Name(设备名称)”节点上设置 L3/L4 丢弃阈值。 

任务 





值大)。 




另请参阅 




(设备列表)中的设置。 

在设备名称节点下设置端口吞吐量利用率阈值 

在“Device_Name(设备名称)”节点上可对端口吞吐量利用率进行配置。按照以下过程可以在“Device_Name(设备名称)” 

节点上设置端口吞吐量利用率阈值。 

任务 





2 在“Metric(指标)”旁边的下拉列表中选择“Port Throughput Utilization(端口吞吐量利用率)”。 


值大)。 

4 单击某行上的“+”,可对该行进行复制。 

5 单击“Edit(编辑)”以在弹出的窗口中编辑该行的当前端口值。 






“Port Throughput Utilization(端口吞吐量利用率)”指标适用于设备级别的配置,但不适用于管理域的“Device List(设 

备列表)”级别。 

另请参阅 






4 



自定义指标显示 

基于指标的信息在 Threat Analyzer 中以图形方式显示。指标在 Threat Analyzer 中以彩色编码显示。设备的类别对于每 

个指标有低(绿色)、中(黄色)或高(红色)利用率。显示页用于自定义百分比级别(用来将设备分组到每个彩色编码类 

别中)。可在根管理域节点上对指标显示进行配置。 

按照以下过程可以自定义百分比级别(用于根据每个类别对设备进行分组)。 

任务 

1 单击“/Device List(设备列表)” | “Performance Monitoring(性能监控)” | “Display(显示)”。 

2 在“Value%(值百分比)”列中输入所需的指标值 


显示设置仅在根域级别中可用(在设备和子域级别中不可用)。 

另请参阅 


监控设备性能 

可以通过有关指标的信息和超过阈值集时的警告来监控设备性能。可在实时 Threat Analyzer 中完成基于四个核心指标 

“(CPU Utilization(CPU 利用率)、TCP/UDP Flow Utilization(TCP/UDP 流利用率)、Sensor Throughput Utilization 

(Sensor 吞吐量利用率)”和“Port Throughput Utilization(端口吞吐量利用率)”)的监控。Manager 的“Status(状态)”页 

中的“Sensor Performance Monitoring Threshold(Sensor 性能监控阈值)”警报下将显示基于为“CPU Utilization(CPU 

利用率)”、“Sensor Throughput Utilization(Sensor 吞吐量利用率)”、Port Throughput(端口吞吐量)、“L2 Error Drop 

(L2 错误丢弃)”以及“L3/L4 Error(L3/L4 错误)”配置的阈值的监控。 

监控阈值 

配置为 CPU 利用率、Sensor 吞吐量、L2 错误丢弃、L3/L4 错误丢弃以及端口吞吐量利用率的阈值可作为 Manager 主 

页的“Operational Status(工作状态)”面板中生成的警告号码的一部分。单击“Operational Status(工作状态)”面板中 

“Warning(警告)”列下面所列出的号码,将使您转到 Manager 的“Status(状态)”页中更详细的表。此处可查看有关生 

成的警告的详细信息。阈值警告将在“Fault Type(故障类型)”列中“Sensor Performance Monitoring Threshold Alarm 

(Sensor 性能监控阈值警报)”下列出。您可以深入分析特定的警报信息。 


从 Manager 主页监控阈值 

任务 

1 在“Operational Status(工作状态)”窗格的警告列下方单击要监控的设备旁边列出的数字。 

2 “Status(状态)”页显示所选设备的警告列表。 



3 与 Sensor 性能监控阈值有关的警告以“Sensor Performance Monitoring Threshold Alarm(Sensor 性能监控阈值警 

报)”故障类型列出。单击链接可了解故障的详细信息。 


4 



从 Manager 的“Status(状态)”页监控阈值 

从 Manager 的“Status(状态)”页监控阈值 

任务 

1 单击 Manager 的菜单栏中的“Status(状态)”以查看“Status(状态)”页。 

图 5-5 Manager 菜单栏 

2 “Status(状态)”页显示 Manager、数据库以及 Sensor 的工作状态。 

图 5-6 Manager 的工作状态 

3 数量以“未确认的故障数/总故障数”格式列出。单击“Warning(警告)”列下列出的总数以查看警告。 

图 5-7 故障数页 

4 单击“Sensor Performance Monitoring Threshold Alarm(Sensor 性能监控阈值警报)”以查看故障的详细信息。 

图 5-8 “Fault details(故障详细信息)”页 

监控 Sensor 性能指标 

可以使用 Threat Analyzer 来监控核心 Sensor 性能指标。核心指标包括“CPU Utilization(CPU 利用率)”、“Sensor TCP/ 

UDP Flow Utilization(Sensor TCP/UDP 流利用率)”和“Sensor Throughput Utilization(Sensor 吞吐量利用率)”。 


只有当在 Manager“Configure(配置)”页上的“Device List(设备列表)”节点或“Device_Name(设备名称)”节点下启用了 

“Performance Monitoring(性能监控)”时,才能监控核心指标。 

另请参阅 

在管理域节点启用设备性能监控第 69 页 

在“设备名称”节点启用设备性能监控第 72 页 








监控 Sensor TCP/UDP 流利用率第 89 页 

监控 Sensor 吞吐量利用率第 90 页 

监控 Sensor CPU 利用率第 95 页 

监控 Sensor TCP/UDP 流利用率 

按照以下过程可以查看在 McAfee 中配置的所有设备的 Sensor TCP/UDP 流利用率的综合状态。 

任务 

1 从 Manager 主页启动“Real‑time Threat Analyzer(实时 Threat Analyzer)”。 

2 默认情况下会打开 Threat Analyzer“Dashboards(信息显示板)”页的“NSP Health(NSP 健康状况)”选项卡。 

3 Sensor TCP/UDP 流利用率饼图显示在 Manager 中配置的所有设备的 TCP/UDP 流利用率的综合状态。在该饼图 

中,以不同的颜色显示“High(高)”、“Medium(中)”、“Low(低)”、“Metric Disabled(指标已禁用)”和“Disconnected 

(已断开连接)”类别相对应的部分。单击饼图的彩色部分可显示与该部分有关的设备及其利用率(百分比)的列表。 

图 5-9 Sensor TCP/UDP 流利用率的详细信息 




4 



4 选择要在与时间的关系图表中查看其信息的设备,然后单击“Chart(图表)”为所选设备创建与时间的关系图表。 

图 5-10 Sensor TCP/UDP 流利用率图表 

5 如果要查看实时数据,请单击“Real‑Time Threats(实时威胁)”开始实时轮询 Sensor TCP/UDP 流利用率。 

图 5-11 TCP/UDP 流利用率的实时按钮 

6 单击“Yes(是)”查看基于实时轮询的图表。 

图 5-12 实时轮询的“Warning(警告)”对话框 

利用率图表的正常间隔为一分钟。如果选择了实时模式,系统将每隔 10 秒钟轮询一次数据并对所得到的数据绘制图 

表。实时轮询进行 10 分钟便告结束。在这段时间之后,如果需要重新运行实时轮询的话,则需要用户干预。这相当 

于专门检查带宽利用率。 

另请参阅 


监控 Sensor 吞吐量利用率 

按照以下过程可以查看在 Manager 中配置的所有设备的 Sensor 吞吐量利用率的综合状态。 


任务 


2 默认情况下会打开 Threat Analyzer“Dashboards(信息显示板)”页的“NSP Health(NSP 健康状况)”选项卡。 

3 Sensor 吞吐量利用率饼图显示在 Manager 中配置的所有设备的 Sensor 吞吐量的综合状态。在该饼图中,以不同的 

颜色显示与“High(高)”、“Medium(中)”、“Low(低)”、“Metric Disabled(指标已禁用)”和“Disconnected(已断开连 

接)”类别相对应的部分。单击饼图的彩色部分可显示与该部分有关的设备及其利用率(百分比)的列表。 

图 5-13 Sensor 吞吐量利用率的详细信息 

4 选择要在与时间的关系图表中查看其信息的设备,然后单击“Chart(图表)”为所选设备创建与时间的关系图表。 

图 5-14 Sensor 吞吐量利用率图表 




4 



5 如果要查看实时数据,请单击“Real‑Time Threats(实时威胁)”开始实时轮询 Sensor 吞吐量利用率。 

图 5-15 Sensor 吞吐量利用率的实时按钮 






另请参阅 


监控端口吞吐量利用率 

按照以下过程可以查看在 Manager 中配置的所有设备的端口吞吐量阈值的综合状态。 

任务 


默认情况下会打开 Threat Analyzer“Dashboards(信息显示板)”页的“NSP Health(NSP 健康状况)”选项卡。 

2 单击“Options(选项)” | “Dashboard(仪表板)” | “New(新建)”。 

3 在“Dashboard Dialog(信息显示板对话框)”中输入新信息显示板的名称。 

4 单击“Assign Monitor(分配监视器)”,以查看“Assign Monitor(分配监视器)”对话框。 

5 在“Category(类别)”下,选择“Default Monitors(默认监视器)”。 

6 在“Type(类型)”中,选择“Sensor Performance(Sensor 性能)”。 


7 在“Monitor(监视器)”中,选择“Utilization ‑ Port Throughput(利用率 ‑ 端口吞吐量)”,然后单击“OK(确定)”。 

图 5-17 分配现有的端口吞吐量监视器 

8 从“Utilization ‑ Port Throughput(利用率 ‑ 端口吞吐量)”对话框左侧窗格中的“Available device Ports(可用的设备端 

口)”列表中选择要查看其吞吐量利用率的端口,然后单击“Add(添加)”将其移到右侧的“Selected device Ports(选定 

的设备端口)”窗格中。 

图 5-18 “端口吞吐量利用率”端口选择对话框 




4 



9 单击“Finish(完成)”查看端口吞吐量利用率与时间的关系图表。 

图 5-19 端口吞吐量利用率与时间的关系图表 


10 如果要查看实时数据,请单击“Real‑Time(实时)”“Threats(威胁)”开始实时轮询端口吞吐量利用率。 

图 5-20 端口吞吐量利用率的实时按钮 






监控 Sensor CPU 利用率 

按照以下过程可以查看在 Manager 中配置的所有 Sensor 的 CPU 利用率的综合状态。 

任务 


默认情况下会打开 Threat Analyzer“Dashboards(信息显示板)”页的“NSP Health(NSP 健康状况)”选项卡。 

2 单击“Options(选项)” | “Dashboard(仪表板)” | “New(新建)”。 





4 






7 在“Monitor(监视器)”中,选择“Utilization ‑ Sensor CPU(利用率 ‑ Sensor CPU)”,然后单击“OK(确定)”。 

图 5-22 分配现有的监视器 


8 从“Device CPU Utilization(设备 CPU 利用率)”对话框左侧窗格中的“Available Devices(可用设备)”列表中选择要 

查看其设备 CPU 利用率的设备,然后单击“>>”将其移到右侧的“Selected Devices(选定的设备)”窗格中。 

图 5-23 设备 CPU 利用率 




4 



9 单击“Finish(完成)”查看 Sensor CPU 利用率与时间的关系图表。 

图 5-24 CPU 利用率与时间的关系图表 

10 如果要查看实时数据,请单击“Real‑Time Threats(实时威胁)”开始实时轮询 CPU 利用率。 

图 5-25 Sensor CPU 利用率的实时按钮 







另请参阅 


查看默认的 Sensor 性能监视器 

可以在 Threat Analyzer 中,通过创建一个新的信息显示板并选择可显示不同类型 Sensor 统计数据的监视器来查看 

Sensor 的性能统计数据。下面列出了显示 Sensor 性能统计数据的监视器: 

• “Statistics ‑ Flow(统计数据 ‑ 流)”:由设备处理的 TCP 和 UDP 流数据的统计视图。检查流速率有助于确认设备是 

否正确处理流量,并提供了支持的最大流数目以及活动 TCP 和 UDP 流数目等统计数据视图。 

• “Statistics ‑ IP Spoofing(统计数据 ‑ IP 欺骗)”:有关 Network Security Platform 所检测到的 IP 欺骗攻击数量的统 

计数据。统计数据按方向来显示。 

• “Statistics ‑ Malware(统计数据 ‑ 恶意软件)”:有关给定设备上所检测到的恶意软件的统计数据。 

• “Statistics ‑ Port Packet Drop(统计数据 ‑ 端口数据包丢弃)”:端口上丢弃数据包的速率。 

• “Statistics ‑ Rate Limiting(统计数据 ‑ 速率限制)”:速率限制统计数据提供了由设备丢弃的数据包/字节的估计数目。 

您可以查看 Manager 的资源树中列出的每个设备(每个端口)的速率限制统计数据。 

• “Statistics ‑ Rx/TX(统计数据 ‑ Rx/TX)”:有关给定设备接收 (Rx) 和传输 (Tx) 的数据包总数的统计数据。 

• “Statistics ‑Sensor Packet Drop(统计数据 ‑ Sensor 数据包丢弃)”:设备上丢弃数据包的速率。这些统计数据根据 

每个设备而显示。这些统计数据包括设备因设定的速率限制和稳定检查故障而丢弃的数包数目的计数。 

按照以下过程可查看 Sensor 性能统计数据(此示例演示流统计数据的创建步骤): 

任务 

1 单击“Options(选项)” | “Dashboard(信息显示板)” | “New(新建)”以打开“Create New Dashboard(创建新信息显示 

板)”对话框。 






4 



4 选择“Assign an existing monitor(分配现有的监视器)”。 

图 5-27 针对 Sensor 性能的监视器选项 



7 在“Monitor(监视器)”中,选择“Statistics ‑ Flows(统计数据 ‑ 流)”,然后单击“OK(确定)”。 

图 5-28 所选 Sensor 的流统计数据 

8 选择要查看其流统计数据的设备,然后单击“Refresh(刷新)”查看所选设备的流统计数据。 

9 按照相似的过程,针对“Sensor Performance(Sensor 性能)”选择其他“Monitor(监视器)”以查看相关的 Sensor 统 

计数据。 

另请参阅 

为每台设备管理配置第 4 页 


生成设备性能报告 

设备性能报告可以提供有关设备配置和性能的灵活数据。三个默认报告可以提供有关选定时间段内 CPU 利用率、TCP/ 

UDP 流利用率以及 Sensor 吞吐量利用率的信息。可以根据每位用户的需求生成新的 Sensor 性能报告。这些报告可以 

按每小时、每天、每周或每月之类的时间范围生成。 

设备性能 - 新产生默认报告 

“Next Generation(新产生)”报告选项可让您生成自定义的报告。您可以选择要作为报告依据的数据类型,以及要将数据 

显示在表格、柱状图还是饼图中等。从适于报告的字段列表中,可以选择要显示的字段,还可以指定为了在报告中包括 

这些字段的信息而必须满足的条件。 

生成默认的 Sensor 性能报告 

“Next Generation(新产生)”默认报告可从 Manager 中的“Reports(报告)”菜单生成。 

当您在 Manager 主页中选择“Reports(报告)”菜单时,“Next Generation(新产生)”页的左窗格中会在默认情况下显示 

“Saved Reports(保存的报告)”。 

图 5-29 “Next Generation(新产生)”报告 

与 Sensor 性能监控有关的四个默认报告有“Default ‑ Quarantine History(默认值 ‑ 隔离历史记录)”,“Default ‑ High 

Sensor Throughput Utilization(默认值 ‑ Sensor 吞吐量利用率高)”、“Default ‑ High Sensor TCP/UDP flow Utilization 

Report(默认值 ‑ Sensor TCP/UDP 流利用率高)”和“Default ‑ Top 10 Attacks(默认值 ‑ 前 10 个攻击)”,这些报告与 

其他报告一起显示在左窗格上。 

下面详细介绍了查看“Default ‑ IPS Quarantine History(默认值 ‑ IPS 隔离历史记录)”(与 Sensor 性能监控有关的默认报 

告之一)的步骤。 

任务 

1 选择左窗格中列出的“Default ‑ Quarantine History(默认值 ‑ 隔离历史记录)”,以在右窗格中查看此报告的详细信 

息。 

2 单击“Run(运行)”以查看“Run Query(运行查询)”选项。 



3 选择其中一个“Data Options(数据选项)”(用于查询当天的数据、两个日期之间的数据或过去的选定时间范围内的数 

据)。 


4 



4 选择报告格式(“HTML”、“PDF”、“Save as CSV(另存为 CSV)”或“Save as HTML(另存为 HTML)”),然后单击“Run 

(运行)”。 

5 此时会生成“Default ‑ High Sensor CPU Utilization(默认值 ‑ Sensor CPU 利用率高)”报告。 

在上面的步骤 1 中,选择“Default ‑ High Sensor Throughput Utilization(默认值 ‑ Sensor 吞吐量利用率高)”、 

“Default ‑ High Sensor TCP/UDP flow Utilization(默认值 ‑ Sensor TCP/UDP 流利用率高)”报告或“Default ‑ Top 10 

Attacks(默认值 ‑ 前 10 个攻击)”,然后按照相似的程序生成相应的 Sensor 性能报告。只有在数据值高于或等于 

95% 的情况下才会生成默认报告。 

设备性能 - 新产生用户定义报告 

“Next Generation(新产生)”报告选项可让您生成自定义的报告。您可以选择要作为报告依据的数据类型,以及要将数据 

显示在表格、柱状图还是饼图中等。从适于报告的字段列表中,可以选择要显示的字段,还可以指定为了在报告中包括 

这些字段的信息而必须满足的条件。 

可以为特定的时间间隔/时间范围生成用户定义的“Next Generation(新产生)”Sensor 性能报告。 

生成 Sensor 性能在特定时间段内的报告 

按照以下过程可以生成有关 Sensor 性能在特定时间段内的“Next Generation(新产生)”报告。 

任务 

1 从 Manager 主页中选择“Reports(报告)”图标。 

2 单击“Next Generation(新产生)”。 

3 单击左窗格底部的“New(新建)”。 


4 在数据源页中选中“Hourly(每小时)”选项。 

可以通过选中“Daily(每天)”、“Weekly(每周)”或“Monthly(每月)”选项来生成每天、每周和每月报告。 


6 在显示选项下面单击“Table(表)”(对于此报告来说,这是唯一可用的 Sensor 性能选项),然后单击“Next(下一 

步)”。 

a 在“Available Fields(可用的字段)”窗格中单击所需的字段将其移动到“Selected Fields(选定的字段)”窗格(可以 

单击每一列上的“向左/向右”箭头更改列的位置。可以单击每一列上的“X”删除该列)。单击“Next(下一步)”。 

7 单击左窗格上列出的属性,将它们移动到右窗格中,以减少报告中显示的信息量。单击“Run Once(运行一次)”运行 

报告,单击“Save(保存)”保存报告。 

8 选择其中一个“Data Options(数据选项)”(用于查询当天的数据、两个日期之间的数据或过去的选定时间范围内的数 

据)。选择报告格式(HTML、PDF、Save as CSV(另存为 CSV)或 Save as HTML(另存为 HTML)),然后单击 

“Run(运行)”。 

9 此时会生成每小时报告。 

Sensor 性能 - 每小时报告 

传统报告是一种可以根据预配置的条件生成配置报告的报告。有两种与 Sensor 性能有关的传统报告。 

另请参阅 

性能监控 - 管理域配置报告第 103 页 

性能监控 - Sensor 配置报告第 103 页 

性能监控 - 管理域配置报告 

“Performance Monitoring ‑ Admin Domain Configuration(性能监控 ‑ 管理域配置)”报告显示有关在 Manager 中进行的 

管理域智能配置的信息。 

按照以下过程可以生成该管理域报告: 

任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Performance Monitoring ‑ Admin Domain Configuration(性能 

监控 ‑ 管理域配置)”。 

此时将显示“Performance Monitoring ‑ Admin Domain Configuration(性能监控 ‑ 管理域配置)”的配置选项。 

3 从“Admin Domain(管理域)”下拉列表中选择要为其生成报告的管理域。 

4 选中或清除与“Metrics(指标)”、“Thresholds(阈值)”和“Display(显示)”相对应的复选框。 

5 选择“Output Format(输出格式)”。 

6 单击“Submit(提交)”。 

此时将生成“Performance Monitoring ‑ Admin Domain Configuration(性能监控 ‑ 管理域配置)”报告。 

另请参阅 

Sensor 性能 - 每小时报告第 103 页 

性能监控 - Sensor 配置报告 

“Performance Monitoring ‑Sensor Configuration(性能监控 ‑ Sensor 配置)”报告显示有关在 Manager 中进行的 

Sensor 配置设置的信息。 

按照以下过程可以生成该管理域报告: 




4 



任务 


2 单击“Traditional(传统)>”“Configuration(配置)” | “Performance Monitoring ‑Sensor Configuration(性能监控 ‑ 

Sensor 配置)”。 

此时将显示“Performance Monitoring ‑ Sensor Configuration(性能监控 ‑ Sensor 配置)”的配置选项。 

3 从“Sensor”处选择要包括的 Sensor。选中或清除与“Metrics(指标)”和“Thresholds(阈值)”相对应的复选框。 

4 选择“Output Format(输出格式)”。 

5 单击“Submit(提交)”。 

此时将生成“Performance Monitoring ‑ Sensor Configuration(性能监控 ‑ Sensor 配置)”报告。 

另请参阅 

Sensor 性能 - 每小时报告第 103 页 

捕获数据包 

Network Security Platform 支持捕获网络中入口流量上的数据包。完成捕获后,这些数据包即可用于执行鉴证分析,从 

而帮助识别网络安全威胁。对捕获的数据包进行分析可帮助您监控数据通信和生产环境网络使用情况是否符合组织制定 

的策略。捕获的数据包还可用于对 Sensor 问题进行故障排除。系统可以在端口模式或文件模式捕获数据包。 

在端口模式下,您可以配置 Sensor 端口捕获数据包。然后通过监控在 SPAN 模式下配置的端口将捕获的数据包转发给 

外部设备(例如监听器)。 

如果某个端口设计用来捕获数据包,则它将无法用于进行 IPS 检测。请注意,Sensor 与外部设备之间的数据包复制必 

须通过这两个设备间的直接链接来完成,也就是说,无需在两者之间进行切换。 


除配置第三方设备的 SPAN 和 TAP 外,Network Security Platform 的数据包捕获功能还可用于将所选的流量转发到 

McAfee Data Loss Prevention 和 McAfee Network Threat Response。 

图 5-30 数据包捕获 ‑ 将数据包副本发送到 McAfee DLP 或 McAfee NTR 

图 5-31 数据包捕获 ‑ 使用 TAP 将数据包副本发送到 McAfee DLP 和 McAfee NTR 



在文件模式下,系统会将捕获的文件发送到 Manager 或 SCP 服务器。最大文件大小可配置为 Sensor 定义的上限值。 

SCP 服务器应当从 Sensor 中运行并且能够从 Sensor 中进行访问。Sensor 仅可存储一份捕获的文件。如果您尚未上载 

文件,则再次启动捕获过程,文件将被覆盖。一旦数据包捕获过程完成,Sensor 会将该文件上载到 Manager。如果在 

数据包捕获期间重新启动 Sensor,则需要重新上载该文件。 

只有 M 系列 Sensor 才支持数据包捕获,I 系列和 N‑450 Sensor 型号均不支持此项功能。如果部署了故障转移设置,每 

个 Sensor 将会单独捕获数据包。 

数据包捕获配置使用应用于 Sensor 的数据包捕获规则来完成。您可以定义数据包捕获规则模板,从而跨越多个设备应 

用相同的捕获规则。借助模板,您可以在设备级别定义捕获规则,然后根据需要将它们插入任意数量的 Sensors 的配置 

中。 


4 



当符合以下条件时不会进行数据包捕获: 

• Sensor 处于第 2 层。 

• Sensor 上已启用扫描例外。 

• 在禁用通道传送后,Sensor 只有在“Protocols(协议)”的“Capture Rule(捕获规则)”设置为“All(全部)”时才能捕获 

通过通道传送的流量。其他任何规则不会捕获通道传送的流量。 

端口模式不支持捕获 Jumbo 数据包帧。在文件模式下,Jumbo 数据包帧可被截断至 1526 字节或配置的外缘长度。 

在配置应用协议过滤规则且 Sensor 收到复核这些过滤规则零碎流量后,Sensor 只会捕获流中的第一个零碎数据包,而 

不会捕获后续的数据包。这是因为只有第一个碎片中才会显示端口信息。 

McAfee 建议您确保捕获的流量小于配置的 Sensor 捕获端口的捕获能力。否则,可能会影响 Sensor 的性能。 

在端口模式下配置数据包捕获设置 

要配置数据包捕获设置,请执行以下操作: 

任务 

1 选择“Device List(设备列表)” | “Sensor_Name(Sensor 名称)” | “Packet Capturing(数据包捕获)”。 

此时将显示“Enable(启用)”页。 

2 从“Send Captured Packets To(将捕获的数据包发送到)”下拉列表中选择一个 SPAN 端口。 

3 键入“Capture Duration(捕获持续时间)”(以分钟为单位)。 

选择“Run until explicitly stopped(运行到明确停止为止)”选项,以便在您停止捕获前持续进行捕获。 

图 5-32 配置数据包捕获的 SPAN 端口 

4 配置“Capture Rules(捕获规则)”。 


5 单击“Save(保存)”以保存捕获设置。 

6 单击“Start(启动)”。 

在保存捕获设置后,您可以使用“Capture Status(捕获状态)”窗口中的“Status(状态)”字段观察时间戳;请注意,只 

有开始数据包捕获过程之后才能获得状态。 

您应当先在“Filter Rule(过滤规则)”中配置监控端口,然后再开始捕获。 

“Status(状态)”字段将会显示捕获的数据包总数。 

7 要停止数据包捕获过程,请在配置持续时间之前,单击“Stop(停止)”。 

8 单击“Cancel(取消)”。Sensor 将停止捕获并删除已捕获的文件。 

如果已经开始上载文件,则无法取消。 

在文件模式下配置数据包捕获设置 

数据包捕获操作可在文件模式下执行,以便将捕获的文件发送到 Manager 或 SCP 服务器。在此模式下必须针对捕获数 

据设置最大文件大小。最大文件大小基于以下 Sensor 定义的限制: 

Sensor 型号最大捕获大小 

M‑8000 100 MB 

M‑6050/M‑4050/M‑3050 100 MB 

M‑2750 58 MB 

M‑1450/M‑1250 40 MB 

任务 

• 将捕获的文件发送到 Manager 第 107 页 

• 将捕获的文件发送到 SCP 服务器第 108 页 

将捕获的文件发送到 Manager 

要开始捕获并将捕获的文件发送到 Manager,请执行以下操作: 

任务 

1 选择“Device List(设备列表)” | “Sensor_Name(Sensor 名称)” | “Packet Capturing(数据包捕获)” | “Enable(启 

用)”。 

2 从“Send Captured Packets To(将捕获的数据包发送到)”下拉列表中选择“Manager”。 

3 在“Maximum Capture Size (MB)(最大捕获大小 (MB))”字段中键入要捕获的最大文件大小。 

最大文件大小最多可配置为 Sensor 定义的上限值。 






4 




图 5-33 将捕获的文件发送到 Manager 

当达到最大文件大小后,Sensor 会将捕获的文件上载到 Manager。 

7 要停止数据包捕获过程,请在配置最大文件大小之前,单击“Stop(停止)”。Sensor 会将捕获的文件推送到 

Manager。 



另请参阅 

配置和管理数据包捕获规则第 109 页 

将捕获的文件发送到 SCP 服务器 

要捕获文件并将其发送到 SCP 服务器,请执行以下操作: 

任务 


用)”。 

2 从“Send Captured Packets To(将捕获的数据包发送到)”下拉列表中选择“An SCP Server(SCP 服务器)”。 

3 输入 SCP 服务器凭据、“SCP Server IP(SCP 服务器 IP)”、“SCP Server User Name(SCP 服务器用户名)”和 

“SCP Server Password(SCP 服务器密码)”。 


4 在“Maximum Capture Size (MB)(最大捕获大小 (MB))”字段中键入最大文件大小。 

最大文件大小最多可配置为 Sensor 定义的上限值。 

图 5-34 将捕获的文件发送到 SCP 服务器 

5 单击“Test Connection(测试连接)”。 

测试连接操作可在 Sensor 和 SCP 服务器之间建立连接并创建测试文件。这样即可验证是否可以访问服务器以及能 

否编写文件。 




当达到最大文件大小后,Sensor 会将捕获的文件上载到 Manager。 

9 要停止数据包捕获过程,请在配置最大文件大小之前,单击“Stop(停止)”。Sensor 会将捕获的文件发送到 SCP 服 

务器。 



另请参阅 

配置和管理数据包捕获规则第 109 页 

配置和管理数据包捕获规则 

可以过滤数据包捕获规则并将其作为数据包捕获配置文件来应用。 

要配置数据包捕获规则,请执行以下操作: 




4 



任务 


用)”。 

2 “Capture Rules(捕获规则)”将会显示以下一系列捕获规则。 

字段名字段描述 

“Monitoring port(监控端 

口)” 

在其上应用规则的监控端口。选项包括: 

“ALL,1A,1B,2A,2B,3A,3B,4A,4B.5A,5B,6A,6B,7A,7B,8A, and 8B(全部、1A、1B、 

2A、2B、3A、3B、4A、4B、5A、5B、6A、6B、7A、7B、8A 和 8B)”。 

有些选项可能不会显示,具体取决于所配置的 Sensor 型号 

“Traffic(流量)” 捕获规则将要过滤出的流量。选项包括:“ALL(全部)”、“ARP”和“IP”。 

“Protocol(协议)” 要过滤的协议类型。选项包括: 

“TCP,UDP,ICMP(TCP、UDP 和 ICMP)”和“Protocol Number(协议编号)” 

“IP Settings(IP 设置)” IP 设置的类型。选项包括“IPv4”和“IPv6”。 

“Fragments Only?(仅捕获 

碎片?)” 

“Source IP(来源 IP)” 数据包来源 IP 地址 

“Source Mask(源掩码)” 源 IP 掩码 

“Destination IP(目标 IP)” 数据包目标 IP 地址 

“Destination Mask(目标掩 

码)” 

仅捕获零碎流量。默认情况下,此选项处于禁用状态。 

目标 IP 掩码 

“VLAN ID” 将会捕获数据包 VLAN ID。如果您选择的协议类型是“ALL(全部)”或“ARP”,则此选 

项将处于禁用状态。 

对于带有双重 VLAN 标记的流量,将仅检测外部 VLAN ID 

“Source Port(来源端口)” 数据包的来源端口号。如果您选择的协议类型是“TCP”或“UDP”,则此选项将处于启用 

状态。 

“Destination Port(目标端 

口)” 

“Protocol Number(协议编 

号)” 

数据包的目标端口号。如果您选择的协议类型是“TCP”或“UDP”,则此选项将处于启用 

状态。 

协议编号。只有选择“Protocol(协议)”下的“Protocol Number(协议编号)”后才会指定 

协议编号。 

在执行数据包捕获时,无法配置/推送新的数据包捕获配置文件。要应用新的配置文件,需要停止数据包捕获过程。 

您可以通过单击“Capture Rules(捕获规则)”字段右侧的“‑”或“+”符号来添加/删除行。 

3 您可以在设备级别(将会应用至多个 Sensor)或 Sensor 级别定义“Capture Rule Templates(捕获规则模板)”。要创 

建新的捕获规则模板,请执行以下操作: 

a 在设备级别的“Device List(设备列表)” | “Packet Capturing(数据包捕获)” | “Capture Rule Templates(捕获规 

则模板)”下,或在 Sensor 级别的“Capture Rules(捕获规则)”下,单击“Insert Capture Rule Template(插入捕 

获规则模板)”。 

“Insert Capture Rule Template(插入捕获规则模板)”对话框将会打开。 



“Add a Capture Rule Template(添加捕获规则模板)”对话框将会打开。 

图 5-35 “Add a Capture Rule Template(添加捕获规则模板)”窗口 

5 键入捕获规则的“Name(名称)”。 

6 选中“Make Visible to Child Admin Domains(对子管理域可见)”选项以使该规则对子管理域可见。 

7 单击“Save(保存)”以保存捕获规则。 

8 捕获规则可以修改。在规则修改完毕后,单击“Save(保存)”。 

9 要删除捕获规则,请单击规则旁边的。单击“Save(保存)”。 

查看数据包捕获状态 

模板规则修改不会对应用规则的 Sensor 造成影响。 

Manager 根据数据包捕获状态定期从 Sensor 获取更新。 

要查看 Sensor 的数据包捕获状态,请选择“Device List(设备列表)” | “Sensor_Name(Sensor 名称)” | “Packet Capturing 

(数据包捕获)”。 

此时将显示“Capture Status(捕获状态)”窗口。 

已显示数据包捕获期间的状态。 

管理捕获的文件 

在 Manager 中管理捕获的文件: 

任务 

1 选择“Device List(设备列表)” | “Sensor_Name(Sensor 名称)” | “Packet Capturing(数据包捕获)” | “Captured Files 

(捕获的文件)”。 

捕获的文件列表以特定文件名格式存储于 Manager 中。 

2 选择某个特定的文件,然后单击“Open/Export(打开/导出)”。您可以查看该文件或将其保存到所需的位置。 

3 要删除已选定的文件,请单击“Delete(删除)”。 




4 




如果您使用代理服务器来连接到 Internet,可以将 Manager 或设备配置为连接到该服务器以使用代理服务。如果您想将 

更新直接从更新服务器下载到 Manager 中,或者希望在与 McAfee ® TrustedSource 集成的过程中下载主机信誉和发源 

地所在的国家/地区等信息,这点尤为必要。 

Manager 支持应用层 HTTP/HTTPS 代理,如 Squid、iPlanet、Microsoft Proxy Server 和 Microsoft ISA。 

要使用 Microsoft ISA,必须使用基本身份验证配置此代理服务器。Network Security Platform 在 NTLM (Microsoft LAN 

Manager) 身份验证中不支持 Microsoft ISA。 

Network Security Platform 当前不支持网络级别的代理 SOCKS。 

按照以下步骤,指定您的代理服务器: 

任务 

1 选择“Manager” | “Misc(其他)” | “Proxy Server(代理服务器)”或“Device List(设备列表)” | “Misc(其他)” | “Proxy 

Server(代理服务器)”。 

此时会显示“Proxy Server(代理服务器)”页。 

2 选择“Use a Proxy Server?(是否使用代理服务器?)”复选框。 

3 输入“Proxy Server Name or IP Address(代理服务器名称或 IP 地址)”。这可以为 IPv4 或 IPv6 地址。 

4 输入代理服务器的“Proxy Port(代理端口)”。 

5 输入“User Name(用户名)”和“Password(密码)”。 

6 提供相应的 URL。您可以通过测试以确保连接正常,方法是输入“Test URL(测试 URL)”,然后单击“Test Connection 

(测试连接)”。 


当 Manager 或设备成功建立连接时,它会显示一条表示代理服务器设置有效的消息。 


5 为每台设备管理配置 5 

“Device List(设备列表)”下的“Device_Name(设备名称)”节点代表您的网络中所安装的物理 McAfee ® Network 

Security Sensor (Sensor)。每个“Device_Name(设备名称)”节点都是一个具有唯一名称(由您命名)的 Sensor 实例。 

“Device_Name(设备名称)”资源级别中提供的所有操作都可用于为特定的 Sensor 自定义设置。 

在正确安装和初始化某个 Sensor,然后将其添加到 McAfee ® Network Security Manager (Manager) 中,该 Sensor 会作 

为子节点出现在其被添加到的“devices(设备)”节点下,并继承所有的配置设备设置。添加设备之后,可以选择带有唯 

一名称的设备节点并对其专门进行配置,以满足用户需要。 

有关接口和子接口的详细信息,请参阅“Network Security Platform IPS 管理手册”。 

在“Configuration(配置)”页中执行的许多设备配置并不会立即更新到设备。必须执行更新所有设备的配置或更新设备的配 

置中介绍的步骤,将配置信息从 Manager 推送到您的设备。 


5 

为每台设备管理配置 

“Device_Name(设备名称)”节点下包括以下选项卡:“Physical Device(物理设备)”、“Statistics(统计数据)”、 

“Troubleshooting(故障排除)”和“Sensor Access(Sensor 访问)”。使用通过这些选项卡提供的功能,可以执行许多操 

作,其中包括: 

• 配置和管理设备:为选定 Sensor 设置特定配置。 

• 查看 Sensor 统计数据:查看 Sensor 的性能和流统计数据。 

项目描述 

1 设备名称节点 

另请参阅 



查看默认的 Sensor 性能监视器第 99 页 

目录 

配置和管理设备 

对设备配置进行故障排除 

管理设备访问 




“Physical Device(物理设备)”选项卡为所选设备设置特定的规则。可用操作包括: 

• 查看选定设备的详细信息: 

查看/编辑设备详细信息。 

• 配置设备监控端口和响应 

端口:查看/编辑特定设备 

的端口参数。 

• 更新设备上的软件:更新 

设备上的软件。 

查看选定设备的详细信息 

• 重新启动设备:重新启动设备。 

• 关闭设备:关闭设备。 

“Physical Device(物理设备)” | “Summary(摘要)”操作可以提供已安装设备(Sensor 或 NTBA Appliance)的配置信息 

的只读视图。该视图显示的是在选定设备安装和初始化过程中,通过设备或 NTBA Appliance 命令行界面配置的信息。 

对于选定的设备,请验证其名称、IP 地址、子网掩码和默认网关 IP 地址是否与您通过命令行界面进行的设置相同。 

如果为 Sensor 配置了双堆栈(IPv4 和 IPv6 地址),而为 NTBA Appliance 配置了 IPv4 地址,则“Summary(摘要)”页中 

的以下字段仅显示已在设备和 Manager 之间建立信任关系的 IP 地址。 

• “IP Address(IP 地址)” 

• “Subnet Mask(子网掩码)” 

• “Default Gateway(默认网关)” 

例如,假设已在 Sensor 中配置了 IPv4 和 IPv6 地址,但已在 IPv4 上与 Manager 建立了信任关系,则“Summary(摘 

要)”页仅显示 IPv4 地址的“IP Address(IP 地址),Subnet Mask(子网掩码)”和“Default Gateway(默认网关)”。 

按照以下过程可查看设备配置的摘要: 

选择“/Device List(设备列表)/” | “Physical Device(物理设备)” | “Summary(摘要)”。 

“Summary(摘要)”页即会显示出来 

可单击“Edit(编辑)”来编辑显示的信息。 

编辑设备信息 

按照以下步骤,编辑设备信息: 

任务 

1 选择“/Device List(设备列表)/” | “Physical Device(物理设备)” | “Summary(摘要)”。 


“Device_Name(设备名称)”表示 Sensor 或 NTBA Appliance 的名称。 

此时将显示“Edit Device Information(编辑设备信息)”页。 


配置和管理设备 5 


5 



3 在以下字段输入要更改的信息: 

• “Shared Secret(共享密钥)”‑ 键入新的共享密钥。设备或 NTBA Appliance 共享密钥最多可包含 25 个字母数字 

字符,包括连字符、下划线和点号。(在“Confirm Shared Secret(确认共享密钥)”处再次输入该密钥。) 

仅当在设备或 NTBA Appliance shell(命令行界面)中更改了共享密钥时,才应执行此操作。当更改了其中一个共 

享密钥时,设备或 NTBA Appliance 将失去与 Manager 的通信。 

• “Contact Information(联系信息)”‑ 设备或 NTBA Appliance 的负责人。 

• “Location(位置)”‑ 地理位置,如城市、建筑物等。 

• “Updating Mode(更新模式)”‑ 更新设备的联机或脱机模式。(不适用于 NTBA Appliance。) 

• “Device Reserved VLAN ID(设备保留的 VLAN ID)”‑ 设备保留的内部 VLAN ID。仅针对 I‑3000 和 I‑4010 设备 

型号显示此字段。默认值是 4095(不适用于 NTBA Appliance)。 

4 单击“Reset CLI Password(重置 CLI 密码)”以重置命令行界面密码。 


配置设备监控端口和响应端口 

通过“Port Settings(端口设置)”操作,可以查看或编辑特定设备上的监控端口和响应端口的参数。监控端口配置允许您 

更改设备部署模式、选择端口速度或指示您使用的模块是否经过 McAfee 认证、启用或禁用端口以及选择设备响应路径。 

响应端口配置可以选择接收设备并更改链路速度。端口设置是借助于虚拟设备操作按钮来配置的,这些按钮与 

Manager UI 中的设备节点相对应。 

下表包含不同工作模式下设备端口的默认值。您必须确保与设备端口相连的交换机或路由器端口与这些配置的设置相匹 

配,如下所示: 

表 5-1 

接口类型模式自动协商速度双工 

10 千兆位以太网 Tap 关闭不适用不适用 

10 千兆位以太网 SPAN 关闭不适用不适用 

10 千兆位以太网串联关闭不适用不适用 

千兆位以太网 Tap 关闭不适用不适用 

千兆位以太网 SPAN 打开不适用不适用 

千兆位以太网串联打开不适用不适用 

高速以太网 Tap 关闭可配置半双工 

高速以太网 SPAN 关闭可配置可配置 

高速以太网串联关闭可配置可配置 


虚拟设备操作按钮 

除监控端口和响应端口外,虚拟设备还有三个重要的按钮。下面是对这些按钮的描述: 

• “Commit Changes(提交更改)”:保存配置更改,以便更新配置后将更改从 Manager 推送至设备。例如,如果将原 

来处于“Tap 模式”的端口对中监控端口 1A 更改为“SPAN 或集线器模式”的独立端口,则单击“Commit Changes(提 

交更改)”可将此信息列入队列,以供下载至设备。要让这一更改获得成功,还必须正确连接设备与网段。 

• “Cancel Changes(取消更改)”:将所有配置更改恢复为最近进行更改之前的状态。例如,如果在监控端口配置中将 

原来处于“Tap 模式”的端口对中的监控端口 1A 更改为“SPAN 或集线器模式”的独立端口,然后单击“OK(确定)”,之 

后您又改变了主意,则可以单击“Cancel Changes(取消更改)”,清除最近对原有设置的更改。 

必须在单击“Cancel Changes(提交更改)”之前单击“Cancel Changes(取消更改)”,才能有效取消最近所做更改。 

• “Refresh(刷新)”:从 Manager 向设备发出轮询,返回设备接口的最新详细状态信息。例如,如果断开监控端口 1A 

(该端口原为“Enabled(启用)”)的电缆,然后在 UI 中单击“Refresh(刷新)”,则虚拟设备中的端口 1A 会从绿色变 

为红色。 

I 系列设备的端口 

如果您在初次配置端口后决定更改端口设置,则原来在接口和子接口级别上执行的所有的配置都会被清除,以应用新 

的端口配置。被清除的信息包括接口流量类型和子管理域等。(为便于管理,将某些接口分配到了子管理域。) 

“Port Settings(端口配置)”页上的设备图以图形方式显示所选设备的可用端口数。下面是 Network Security Sensor 的端 

口描述。 

• I‑4010、I‑3000:12 个检测端口和 2 个响应端口。 

• I‑4000:4 个检测端口和 2 个响应端口。 

• I‑2700:8 个检测端口(6 个高速以太网检测端口和 2 个千兆位以太网检测端口)和 3 个响应端口。 



端口右边的颜色编码表列出端口的管理和工作状态。 




5 



M 系列设备的端口 

要查看或配置 McAfee Network Security Platform M 系列设备的监控端口设置,您可以按照与 I 系列设备所要求的相同 

方式访问配置页(“Device List(设备列表)/”“Device_Name(设备名称)” | “Physical Device(物理设备)” | “Port Settings 

(端口设置)”)。 


“Port Settings(端口配置)”页上的设备图以图形方式显示所选设备的可用端口数。下面是 Network Security Sensor 的端 

口描述。 

• M‑8000:28 个检测端口(16 个 10/100/1000 SFP 端口和 12 个 10 千兆位以太网 XFP 端口)和 1 个响应端口。 




• M‑2750:20 个检测端口(20 个 10/100/1000 SFP 端口)。 

• M‑1450:8 个检测端口和 1 个响应端口。 

• M‑1250:8 个检测端口和 1 个响应端口。 

端口右边的颜色编码表列出端口的管理和工作状态。 




5 




端口颜色代码 

要在 Manager 中查看设备端口,请选择“Resource Tree(资源树)”中的“Device List(设备列表)”“Device_Name(设备名 

称)” | “Physical Device(物理设备)” | “Port Settings(端口设置)”。 

表 5-2 端口颜色代码 

颜色描述 

绿色端口已启用并正常工作。 

红色端口已启用,但由于某种故障而无法工作。请检查系统故障。 

灰色端口已被用户禁用。 

橙色设备或 NTBA Appliance 已断开连接。端口数据取自数据库。 

米黄色已对端口进行修改。 

配置监控端口 

配置监控端口时,可以设置端口的工作模式,更改端口速度或指定您使用的模块是否经过 McAfee 认证,并且/或者选择 

设备操作的对应响应端口。 

有关在各种工作模式下用电缆正确连接设备的信息,请参阅对应的“McAfee Network Security Platform Sensor 产品手册”。 

为 I 系列设备配置端口 

要查看或配置 Network Security Sensor 监控端口的设置,请执行以下操作: 




5 



任务 

1 选择“/Device List(设备列表)/Device_Name(设备名称)节点” | “Physical Device(物理设备)” | 

“Port Settings(端口设置)”。 

2 在“Monitoring Ports(监控端口)”中单击一个端口编号(例如 1A)。弹出窗口将显示当前的端口设置。 

3 选择端口的“Speed(速度)”。端口速度会详细列出被监控端口的流量速度。 

如果是 I‑3000 和 I‑4010 设备型号,可以从下拉列表中选择以下速度设置值。 

• 10 Mbps 

• 100 Mbps 

• 1 Gbps 

千兆位以太网 (GE) 端口支持“1 Gbps”或“Auto Negotiate(自动协商)”,默认值为自动协商。高速以太网 (FE) 端口支 

持“10 Mbps”或“100 Mbps”,默认值为 100 Mbps。 

如果是 I‑3000 和 I‑4010 设备型号,需要连接铜口 SFP 以支持 10/100/1000/10‑auto/100‑auto/1000‑auto 速度设置。 

如果速度值设置为 10 Mbps 或 100 Mbps,链路 LED 指示灯将变为绿色。 


您可以在设备 CLI 中使用 show 命令来查看设置。无法从 CLI 配置 FE 设置。 

针对设备执行 resetconfig 或 factorydefaults 会将端口速度重置为 1 Gbps。如果您打算将端口速度配置为 10 Mbps, 

则还必须将连接网络设备(交换机、集线器等)上的所有端口都设为 10 Mbps。如果配置为混合速度,可能会导致无 

法正常运行。 

4 将“Duplex(双工)”模式选为“Full(全双工)”或“Half(半双工)”。双工模式与接口监控的连接有关。如果连接至 

SPAN 或集线器,或者部署了外部 Tap 配置,则默认模式为半双工。如果以 Tap 或串联模式连接,则默认为全双 

工。 

5 选择“Administrative Status(管理状态)”,可以是“Enable(启用)”(打开)或“Disable(禁用)”(关闭)。 

“Operational Status(工作状态)”会相应地显示“Up(开启)”或“Down(关闭)”。 

如果“Operational Status(工作状态)”显示为“Down(关闭)”并且您的“Administrative Status(管理状态)”是“Enabled 

(启用)”,则可能出现问题。要了解详细信息,请查看“Operational Status(工作状态)”。 

6 选择以下一种“Operating Mode(工作模式)”: 

设备的电缆连接必须符合选定的工作模式,系统才能正常工作。部署不当可导致系统故障,如遗漏攻击和系统故障 

等。 

• “In‑line Fail‑open (Port Pair)(串联失效打开(端口对))” 

• “In‑line Fail‑close (Port Pair)(串联失效关闭(端口对))” 



串联失效打开还是串联失效关闭取决于端口的电缆连接方式。GE 端口的失效打开工作模式要求使用千兆位光纤 

失效打开旁路套件(单独出售)提供的可选旁路交换机。如果没有提供可选的外部旁路交换机,则不应选择 

“In‑line Fail‑Open(串联失效打开)”选项。 

在使用铜口失效打开套件并将端口速度设置为 Mbps 和 100 Mbps 时,会针对串联失效打开(端口对)实施自动协 

商。 


5 



• “Tap (Port Pair)(Tap(端口对))” 

对于以“Tap (Port Pair)(Tap(端口对))”模式配置的 FE 端口,如果使用的是外部 Tap,请选择“External(外 

部)”;而如果使用内部 Tap 功能,请选择“Internal(内部)”。GE 端口只能配置为外部 Tap 模式。 

如果 FE 端口配置为内部 Tap 模式,则 FE 端口失败,流量仍然可以继续通过。但是,设备将出现一定程度的延 

迟。在建立通过之前,通信量阻断的时间可能长达一分钟。 

• “SPAN or Hub (Single Port)(SPAN 或集线器(单端口))” 

如果端口是端口对的成员,会列出其对等端口。例如,如果端口 1A 配置为 Tap 模式,则列出端口 1B 作为其对等端 

口。所有端口皆与对等的端口内部相互配对连接,如 1A‑1B 构成一个端口对。而 1A‑2B 则无法构成端口对。 

有关 Network Security Sensor 部署模式的详细信息,请参阅“McAfee Network Security Platform IPS 管理手册”中的 

“Network Security Sensor”“部署模式”。 

7 选择当前端口连接到的网络区域:网络的“Inside(内部)”或“Outside(外部)”。此步骤仅适用于“Tap”或“In‑line(串 

联)”模式。 

8 (如适用)选择一种“Response Mode(响应模式)”,包括特定的“Response Port Number(响应端口号)”。响应模式 

定义设备的响应路径。可用的选项包括: 

• “Send Response From This Port(通过此端口发送响应)”:从检测端口将响应发往网络区域。这是串联和 

SPAN 工作模式的默认选项。 

• “Use Specified Response Port(使用指定的响应端口)”:通过指定响应端口发送响应。从当前设备的可用响应端 

口中选择。(例如,I‑1200 有一个响应端口,I‑4000 有两个响应端口。)外部 Tap 工作模式下默认选择这一响应 

选项。 

9 单击“OK(确定)”。 

可以将一个响应端口分配给多个设备监控端口。但为了配置最佳的响应系统,需要明确响应端口连接到的网络区 

域。 


10 单击“Save(保存)”以保存所做的更改。 

将显示确认页面。 

11 通过执行“更新设备的配置”中的步骤,将更改下载到您的设备。 

为 M 系列设备配置端口 

要查看或配置 McAfee Network Security Platform M 系列设备的监控端口设置,您可以按照与 I 系列设备所要求的相同 

方式访问配置页(“/Device List(设备列表)/Device_Name(设备名称)节点” | “Physical Device(物理设 

备)” | “Port Settings(端口设置)”)。但是,所需配置的类型有些不同。M 系列设备需要配置 XFP 和 SFP 监控端口, 

配置时须遵照与模块的类型和功能相关的特定指导原则。 

配置 10 Gbps (XFP) 监控端口 

McAfee 仅支持通过 McAfee 或向 McAfee 认可的厂商购买的 XFP/SFP 模块。 

请不要使用 XC 端口。这些端口已保留给主 Sensor (M‑8000 P) 与辅 Sensor (M‑8000 S) 之间的互连使用。 

要查看或配置 10 Gbps 监控端口的设置,请执行以下操作: 




5 



任务 



2 在“10 Gbps (XFP)”“Monitoring Ports(监控端口)”中单击一个带有编号的 10 Gbps 端口(包括 1A 到 4B)。将出现一 

个弹出窗口,显示当前端口的设置,指明是否使用 McAfee 认证的 XFP。 

在 10 千兆位以太网端口上,速度自动设置为“10 Gbps”。但是,您可以指定模块是否为 McAfee 认证。 







等。 
















“Network Security Sensor”“部署模式”。 



6 (如适用)选择一种“Response Mode(响应模式)”,包括特定的“Response Port Number(响应端口号)”。响应模式 




• “Use Specified Response Port(使用指定的响应端口)”:通过指定响应端口发送响应。外部 Tap 工作模式下默 

认选择这一响应选项。 



域。 

8 单击“Save(保存)”以保存更改。 



配置 1 Gbps (SFP) 监控端口 

要查看或配置 1 Gbps 监控端口的设置,请执行以下操作: 




5 



任务 



2 在“1 Gbps (SFP)”“Monitoring Ports(监控端口)”中单击一个带有编号的 1 Gbps (SFP) 监控端口(包括 5A 到 8B)。 

弹出窗口将显示当前的端口设置。 

3 选择端口的“Speed(速度)”。端口速度会详细列出被监控端口的流量速度。可以将端口速度设置为“Auto‑Negotiate 

(自动协商)”(仅限光纤)或从下拉列表的以下值中选择: 

• 10 Mbps 

• 100 Mbps 

• 1 Gbps 

如果速度设置为 10 Mbps 或 100 Mbps,链路 LED 指示灯将变为绿色。 

4 将“Duplex(双工)”模式选为“Full(全双工)”或“Half(半双工)”。双工模式与接口监控的连接有关。如果连接至 

SPAN 或集线器,或者部署了外部 Tap 配置,则默认模式为半双工。如果以 Tap 或串联模式连接,则默认为全双 

工。 

5 从以下“SFP Type(SFP 类型)”中选择: 

• “Fiber(光纤)”:“Speed(速度)”字段中的端口速度值可设为“1 Gbps”或“Auto Negotiate(自动协商)”(默认值)。 

• “Copper(铜口)”:“Speed(速度)”字段中的端口速度值可设为“10 Mbps”、“100 Mbps”或“1 Gbps”。 

当您在“SFP type(SFP 类型)”中选择“Copper(铜口)”,在“Speed(速度)”中选择“1 Gbps”时,“Duplex(双工)” 

模式下拉选项将呈灰色显示,默认值为“Full(全双工)”。铜口提供更细的划分。连接铜口 SFP 可支持 

10/100/1000/10‑auto/100‑auto/1000‑auto 速度设置。连接光纤 SFP 只能支持 1000/1000‑auto 速度设置。 

6 指定是否应使用 McAfee McAfee 认证的 SFP 类型。 








等。 















“Network Security Sensor 部署模式”。 



10(如适用)选择一种“Response Mode(响应模式)”,包括特定的“Response Port Number(响应端口号)”。响应模式 




• “Use Specified Response Port(使用指定的响应端口)”:通过指定响应端口发送响应。外部 Tap 工作模式下默 

认选择这一响应选项。 



域。 

12 单击“Save(保存)”以保存更改。 






5 



配置千兆位以太网串联失效打开状态 

以“In‑line Fail‑open(串联失效打开)”模式部署千兆位以太网端口时,必须验证光纤旁路交换机和袖珍闪存控制器的电缆 

连接和状态,才能实现这一功能。 

GE 端口的失效打开工作要求使用千兆位失效打开旁路套件(单独出售)提供的可选旁路交换机。 

有关用电缆正确连接 Network Security Sensor 以实现 GE 串联失效打开功能的详细信息,请参阅“McAfee Network 

Security Platform 安装手册”。 

如果将千兆位以太网端口配置为“In‑line Fail‑open(串联失效打开)”模式,必须回答以下提示: 

• “Confirmation 1(确认 1)”:旁路连接确认。确认是否已连接所需旁路交换机和袖珍闪存控制器,“Yes(是)”或“No 

(否)”。 

• “Confirmation 2(确认 2)”:TCP 流违规的处理。确认允许(“Yes(是)”)还是丢弃(“No(否)”)违规数据包。 


• “Verify Configuration(验证配置)”:旁路交换机状态确认。在“Operating Mode(工作模式)”字段旁,检验端口对及 

旁路交换机(“Switch(交换机)”)的状态。有关状态字段的说明,请参阅相应的表。 

GE 端口的失效打开工作要求使用千兆位失效打开旁路套件提供的可选旁路交换机。如果没有提供可选的外部旁路交 

换机,则不应选择“In‑line Fail‑Open(串联失效打开)”选项。 

• “Verify Status on Virtual Device(验证虚拟设备的状态)”:失效打开状态确认。在将 GE 端口对配置为实现失效打开 

功能之后,可查看虚拟设备每一适用端口对的当前状态:I‑4000 有 2 对(1A‑1B 和 2A‑2B)。 

虚拟设备的失效打开状态只有在配置了串联失效打开模式之后才可见。 

GE 串联失效打开模式的端口状态和工作模式状态的详细说明如下: 

串联失效打开端口 

状态 

工作模式状态 

串联失效打开串联失效打开设备处于串联失效打开模式。 

串联旁路串联失效打开设备处于串联旁路模式。已激活旁路交换机。在此期间设备不进行监控。 

未知无法从设备获得串联失效打开设备的状态。请检查“Operational Status(工作状态)”。 

缺少交换机缺少失效打开控制器、控制器电缆或光纤旁路交换机。请验证所有三个组件的连接是否都正确。 

如果每个组件均已正确连接,请检查工作状态。 

不适用不适用;工作模式并非处于串联失效打开模式。 




5 



将监控端口从单端口更改为端口对模式 

将“Operating Mode(工作模式)”从 SPAN 或集线器模式更改为端口对(Tap 或串联)模式时,必须同时禁用两个端口, 

才能让端口对正常工作。设备监控端口默认配置为以 SPAN 或集线器模式工作。 

从一种端口对模式更改为另一种端口对模式时,无需禁用端口。 

要将监控模式从单端口更改为端口对,请执行以下操作: 

任务 



2 从虚拟设备中选择一个端口,如 1A。 

弹出窗口将显示当前的端口设置。 

3 在“Administrative Status(管理状态)”中选择“Disable(禁用)”。 


5 选择对等端口,如 1B。 

6 在“Administrative Status(管理状态)”中选择“Disable(禁用)”。 

7 选择“Tap (Port Pair)(Tap (端口对))”或“In‑line (Port Pair)(串联(端口对))”模式作为“Operating Mode(工作模式)”。 

该对话框中说明了对等端口 1A。 

系统将提示您回答有关电缆连接和设备处理 TCP 流违规的问题(仅串联模式)。 

8 在“Administrative Status(管理状态)”中单击“Enable(启用)”。 

9 配置端口设置(端口速度或 McAfee 认证、双工和响应端口使用情况)。 


11 选择端口 1A 验证“Administrative Status(管理状态)”是否为“Enabled(已启用)”,“Operating Mode(工作模式)”是 

否与新设置相符。 





将监控接口从外部 Tap 更改为串联(或相反) 

如果您决定将监控配置从外部 Tap 模式更改为串联模式,或者想从串联模式重新恢复为外部 Tap 模式,请执行以下步 

骤: 

任务 

1 断开网段与外部 Tap 的连接,然后正确连接网段与设备端口对。 

要从串联模式更改为外部 Tap 模式,请断开网段与设备的连接,然后正确连接网段与外部 Tap 和设备端口。 

2 通过 Manager 的“Configuration(配置)”页选择“/Device List(设备列表)/Device_Name(设备名称)节 

点” | “Physical Device(物理设备)” | “Port Settings(端口设置)”。 

3 从虚拟设备中选择一个端口,如 1A。弹出窗口将显示当前的端口设置。 


4 选择“In‑line (Port Pair)(串联(端口对))”模式作为“Operating Mode(工作模式)”。 

如果是从串联模式更改为外部 Tap 模式,请选择“Tap (Port Pair)(Tap(端口对))”作为“Operating Mode(工作模 

式)”。对于高速以太网端口,需要在“Tap”字段中选择“External(外部)”。 

5 配置端口设置(端口速度或 McAfee 认证、双工、响应端口设置 ‑ 如果从串联模式更改为 Tap 模式,需要选择响应端 

口)。 

6 单击“OK(确定)”以关闭弹出窗口。 




将高速以太网监控端口从内部 Tap 模式更改为串联失效关闭模式 

有时,为了丢弃攻击数据包,需要从 Tap 模式更改为串联模式。如果是从内部 Tap 模式更改为串联失效关闭模式,则 

不作手动干预(即更改电缆连接)即可执行所需配置(仅高速以太网监控端口)。 

要实现从内部 Tap 模式到串联失效关闭模式的无缝转换,请执行以下操作: 

任务 

以下步骤假定当前配置为内部 Tap 模式。 



2 从虚拟设备中选择一个端口,如 1A。弹出窗口将显示当前的端口设置。 

3 选择“In‑line Fail‑Close (Port Pair)(串联失效关闭(端口对))”模式作为“Operating Mode(工作模式)”。 

4 配置端口设置(端口速度或 McAfee 认证、双工和响应端口设置)。 

5 单击“OK(确定)”以关闭弹出窗口。 




配置响应端口 

通过设备响应端口,可以让设备在检测到恶意流量时发送预设响应(如 TCP 重置,在策略配置中启用)或者实施检测后 

的响应措施(如启用防火墙阻止流量)。在外部 Tap 工作配置中最常使用设备响应端口。其他工作模式则允许通过接口 

端口传回响应。因为响应无法通过外部 Tap 传回网段,所以需要配置响应端口。 

要配置响应端口,请执行以下步骤: 




5 



任务 



2 在“Response Ports(响应端口)”中单击一个端口编号。会出现“Configure Response Port(配置响应端口)”页,其中 

显示了当前的端口设置。 

3 选择“Port Speed(端口速度)”。选项有“Auto Negotiate(自动协商)”、“10 Mbps”或“100 Mbps”(默认)。 

如果计划将端口速度配置为 10 Mbps,还必须将连接网络设备(交换机、集线器等)上的所有端口设置为 10 Mbps。 

如果配置为混合速度,可能会导致无法正常运行。 

4 选择“Full Duplex(全双工)”或“Half Duplex(半双工)”(默认)的双工模式。双工模式与连接的网络设备有关。如果 

连接到集线器,则模式应为半双工。如果连接到交换机或路由器,模式通常为全双工。 

5 选择“Administrative Status(管理状态)”,可以是“Enable(启用)”(打开)或“Disable(禁用)”(关闭)。例如,如果 

连接新的线路,需要首先禁用端口,重新连接然后再启用。 

• “Operational Status(工作状态)”:“Up(开启)”或“Down(关闭)”。如果端口已启用但“Operational Status(工作 

状态)”显示为“Down(关闭)”,则说明有问题。 

6 在“Packet Destination(数据包目的地)”一栏选择响应端口连接的网络组件:“Switch(交换机)”或“Router(路由 

器)”。 

• 如果选择“Router(路由器)”,键入连接到的路由器的 MAC 地址。MAC 地址“cannot(不能)”是广播地址 

“ff:ff:ff:ff:ff:ff”。 


8 单击“Save(保存)”以保存端口更改,或者单击“Cancel Changes(取消更改)”以取消最近的更改。 

更新 Sensor 或 NTBA Appliance 的配置 

配置更新是指对设备和接口/子接口配置(如端口配置、非标准端口、接口流量类型等)的更改,以及对 Sensor 或 

NTBA Appliance 所做的所有配置更改。 

完成“/Device List(/设备列表)”“Configuration Update(配置更新)”(在域中的所有 

Sensor 和 NTBA Appliance)或“/Device List / (/设备列表/)” | “Physical Device(物理设备)” | “Configuration Update(配置更新)”(一台 Sensor 或 NTBA Appliance) 

等操作后,“Configure(配置)”页中所有适用于 Sensor 或 NTBA Appliance 的配置才会被推送出去。 


特征码更新具有新的和/或经过修改的特征码,它们可应用于选定策略所防御的攻击。 

策略更改会在出现新应用的策略或对当前实施的策略进行更改的情况下更新设备。 

按照以下过程可更新特定设备的配置: 

任务 

1 “/IPS Settings(IPS 设置)/” | “Configuration Update(配置更新)” | “IPS Sensors”(对 

于 NTBA Appliance,选择“/NTBA Settings(NTBA 设置)/” | “NTBA 

Appliance” | “Configuration Update(配置更新)”)。 

即会显示“Configuration Update(配置更新)”页。 

2 查看更新信息。如果对设置进行过更改,则“Configuration & Signature Set(配置和特征码集)”列在默认情况下处于 

选中状态。 

3 如果需要更新 SSL 密钥,请选中“SSL Key Update(SSL 密钥更新)”列。 


即会出现一个弹出窗口,显示配置下载状态。 

为 Sensor 或 NTBA Appliance 更新软件 

“Software Upgrade(软件升级)”操作可按需从 Manager 下载 Sensor 和 NTBA Appliance 的最新或最近软件更新。列表 

中列出的是 Manager 中提供的、适用于设备的所有软件版本。您可以从该列表选择要推送到设备的版本。这些版本是 

您从更新服务器下载到 Manager 上的版本。 

您只能更新联机设备。请确保设备已经被发现、初始化并连接到 Manager。 

可以在设备软件的不同次要版本之间切换。请考虑下面的情况:您从更新服务器将 M6050 Sensor 的 6.0.1.1、6.0.1.2 和 

6.0.1.3 版本下载到 Manager。另外,假设当前您希望更新的 M6050 Sensor 是 6.0.1.2。现在您可以将此 Sensor 更新至 

6.0.1.1 或 6.0.1.3。以后,您还可以恢复到 6.0.1.2。但是,不能使用 Manager 在软件的主要版本之间切换。例如,不能 

使用 Manager 在设备软件的 6.0 版和 5.1 版之间切换。 

更新设备软件以后,必须重新启动该设备。 

按照以下过程可下载软件更新: 

任务 

1 单击“Admin_Domain node(管理域节点)” | “Device List(设备列表)” | “()” | 

“Physical Device(物理设备)” | “Software Upgrade(软件升级)”。 

此时将显示“Software Upgrade(软件升级)”页。 

对于故障转移对中的 Sensor,请在故障转移对名称节点下选择所需的 Sensor,然后选择“Software Upgrade(软件 

升级)”。 

指的是 Sensor 或 NTBA Appliance 的名称。 

2 从“Software Ready for Installation(可以安装的软件)”部分选择所需的版本。 

“Software Ready for Installation(可以安装的软件)”部分列出了已从更新服务器下载的适用版本的软件 

(“Root_admin_domain(根管理域)” | “Manager” | “Update Server(更新服务器)” | “Software(软件)”)。 

3 单击“Upgrade(升级)”。 

设备在更新过程中,将继续使用先前安装的软件正常运行。 




5 



4 更新完成以后,请重新启动 Sensor 或 NTBA Appliance。 

如果您更新的设备是处于故障转移对的 Sensor(不适用于 NTBA Appliance),请将故障转移对中的另一 Sensor 也更 

新成相同的版本。请注意,处于故障转移对的两个 Sensor 必须采用相同的软件版本。 

如何重新启动设备 

重新启动设备会关闭设备的所有进程,并在稍后重新启动这些进程。可以从 Manager 或设备的 CLI 重新启动设备。默 

认情况下,当您重新启动设备时,会重新启动整个系统。因此,在设备完全启动前,其功能会出现中断。例如,对于没 

有失效打开套件的串联 Sensor,直到 Sensor 再次启动时,中断的数据流才会恢复。 

Network Security Platform 7.0 提供了两个重新启动选项: 

• 完全重启:这是默认的重新启动选项,选中后,整个系统(包括硬件)都会重新启动。 

• 无中断重启:选中此选项后,设备中只有需要重新启动的软件进程才会重新启动。当执行无中断重启后,设备将进 

入第 2 层通过模式,重新启动所需的进程,但是数据路径会继续传送流量。重新启动所需的进程后,设备会自动退 

出第 2 层通过模式。这减少了重新启动所耗费的时间,同时也防止了重新启动过程中的流量中断。 

如果启用了自动恢复,则 Sensor 会在确认内部错误或进程故障时,尝试在不丢失流量的同时进行自动恢复。如果 

Sensor 无法从错误中恢复,则会进入第 2 层通过模式或进行完全重启。就功能而言,无中断重启与自动恢复功能有 

些相似,但是这二者是两个独立的功能。也就是说,可以使用其中一个,而不必启用另外一个。它们的一个不同之 

处在于,您可以触发无中断重启,而自动恢复则是由 Sensor 自身触发的(假设您已经启用了这一功能)。而且,无 

中断重启不能从内部错误中恢复 Sensor,因为 Sensor 必须处于正常的健康状况才能执行无中断重启。 

有关无中断重启的注意事项: 

• 只有运行 7.0 或以上软件版本的下列设备可支持无中断重启: 

• M‑3050 

• M‑4050 

• M‑6050 

• M‑8000 

• Sensor 必须处于正常的健康状况才能执行无中断重启。如果在无中断重启过程中,Sensor 的健康状况变坏,则会执 

行完全重启。 

• 如果出于某种原因,Sensor 无法进行无中断重启,则 Manager 会发出故障,而 Sensor 会进行完全重启。 

• 只有在启用第 2 层通过监控功能时,才支持无中断重启。McAfee 建议您在使用无中断重启功能时,也启用自动恢复 

和 Sensor watchdog 功能,但不会强制要求您这么做。有关如何启用这些功能的信息,请参阅“McAfee Network 

Security Platform CLI 手册”。 

• 用于 NAC 的 Sensor 不支持无中断重启。 

对于相关的设备,Manager 和 Sensor CLI 中提供了无中断重启功能。本节介绍了有关如何从 Manager 重新启动设备的 

信息。有关如何从 CLI 重新启动设备的信息,请参阅“McAfee Network Security Platform Sensor CLI 手册”。 

在 Manager 中重新启动设备 

开始之前 

如果计划使用无中断重启操作,请确保执行以下操作: 

• Sensor 处于良好的健康状况。 

• Sensor 已启用 2 层通过模式。 


任务 

1 选择“/Device List(设备列表)/” | “Physical Device(物理设备)” | “Reboot(重新启 

动)”。 

“Reboot(重新启动)”页即会显示出来。 

图 5-1 重新启动页 

2 要执行完全重启,请选择“Full Reboot(完全重启)”并单击“Reboot Now(立即重启)”。 

“Full Reboot(完全重启)”复选框仅对支持无中断重启设备可用。其他设备,只需单击“Reboot Now(立即重启)”。 

3 要执行无中断重启,请选择“Full Reboot(完全重启)”并单击“Reboot Now(立即重启)”。 


关闭 Sensor 或 NTBA Appliance 

“Shut Down(关闭)”操作可以关闭 Sensor 或 NTBA Appliance 而不再重新启动。 

任务 

1 选择“/Device List(设备列表)/” | “Physical Device(物理设备)” | “Shut Down(关闭)”。 

此时将显示“Sensor Discovery(Sensor 查找)”页。 

2 单击“Shutdown Now(立即关闭)”。 


“Device_Name_node(设备名称节点)”可能是“Sensor_Name_node(Sensor 名称节点)”或 

“NTBA_Appliance_Name_node(NTBA Appliance 名称节点)”。 

使用“Troubleshooting(故障排除)”选项卡,可以执行以下操作: 

• 上载诊断跟踪 

• 启用 2 层设置 

上载诊断跟踪 

“Diagnostics Trace(诊断跟踪)”操作可将设备诊断日志从 Sensor 或 NTBA Appliance 上载到 Manager 服务器。诊断文 

件含有调试、日志和其他可用于确定设备或 NTBA Appliance 是否存在功能不正常或其他性能问题的信息。文件上载到 

Manager 之后,可以通过电子邮件将其发送到 McAfee 技术支持部门,供其分析,然后提供故障排除建议。 

按照以下过程可将 Sensor 或 NTBA Appliance 诊断信息上载到 Manager: 


对设备配置进行故障排除 5 


5 



任务 

1 选择“/Device List(设备列表)/” | “Troubleshooting(故障排除)” | “Diagnostics Trace 

(诊断跟踪)”(对于 NTBA Appliance,选择“/Device List(设备列表)/” | 

“Troubleshooting(故障排除)” | “Diagnostic Trace(诊断跟踪)”)。 

此时将显示“Diagnostics Trace(诊断跟踪)”页。 

2 如果“Upload?(上载?)”复选框未选中,则选中该复选框。 

3 单击“Upload(上载)”。 

“Upload diagnostics Status(上载诊断状态)”弹出窗口显示了状态。 

4 出现“DOWNLOAD COMPLETE(下载完成)”消息时,单击“Close Window(关闭窗口)”。跟踪文件将保存到 

Manager 服务器上,位置为: 

\temp \tftpin\\trace\。下载之后,该文件还将出现在该操作的“Uploaded Diagnostics Trace 

Files(上载的诊断跟踪文件)”对话框中。 

5 (可选)从“Uploaded Diagnostics Files(上载的诊断文件)”中选择列出的诊断文件,然后单击“Export(导出)”,将文 

件导出到客户端计算机。将文件保存至客户端计算机。如果您是在远程登录,但需要执行诊断跟踪并将文件发送到 

技术支持部门,该功能将非常有用。 

启用 2 层设置 

启用“Layer 2 Settings(2 层设置)”操作后,如果在指定时间内设备发生多起非常严重故障,则允许设备进入通过模式(即 

失效打开模式。这一功能让设备部署于高可用性网络时避免形成瓶颈。 

默认情况下,如果设备遇到非常严重的工作故障,如任务暂停或处理器挂起,设备将重新启动。如果设备持续遇到非常 

严重故障,则每次遇到非常严重故障都会进行重启。如果没有密切监控设备,则设备持续不断重启可能会产生瓶颈。此 

外,在“External Tap(外部 Tap)”和“SPAN or Hub(SPAN 或集线器)”监控模式中,将不会检验通过的流量。 

“Layer 2 Settings(2 层设置)”操作可以设置指定时间内设备遭遇非常严重故障的次数阈值,超过这一阈值后,设备将强 

制进入失效打开模式。例如,可以配置为如果在 10 分钟的时间内发生三次非常严重故障,则启用 2 层通过模式。如果 

在第 1、第 3 和第 7 分钟分别发生了故障,2 层通过模式就会启用。下面介绍另外一种情况:在第 1、第 4、第 11 和 

第 13 分钟分别发生故障。此时,因为最后 3 次故障也是在 10 分钟接连内发生,所以设备也会进入 2 层通过模式。 

设备重新启动可能需要几分钟。这段停机时间不计入 2 层通过功能的计算时间内,只有设备启动之后才开始计算时间。 

“The Layer 2 Settings feature is off (not enabled) by default(2 层设置功能默认为关闭(禁用))”。 

这一功能仅让发生于 3 层到 7 层之间的非常严重故障引发失效打开操作;1 层和 2 层的故障仍将引起设备重启。 

如果激活通过模式,请注意以下事项: 

• 受影响设备的所有监控端口都将停止对流量的处理。 

• 设备会向 Manager 发送错误消息,提示当前处于 2 层通过模式。 

要启用 2 层设置,请执行以下操作: 

任务 

1 单击“/Device List(设备列表)/Device_Name(设备名称)节点” | “Troubleshooting(故障排除)” | 

“Layer 2 Settings(2 层设置)”。 

2 选择“Yes(是)”以启用“Layer 2 Pass‑Through Mode(2 层通过模式)”。 

3 在“Trigger After(等待触发次数)”中键入值。此阈值决定了要切换为通过模式,必须要在“Occurring Within(发生 

于)”时间内发生的非常严重故障次数。 


4 键入“Occurring Within(发生于)”时间。它代表必须在这一时间(以分钟为单位)内达到“Trigger After(等待触发次 

数)”值才能切换为通过模式。 

5 选择“Yes(是)”,以针对设备启用“ARP spoofing(ARP 欺骗)”。 

N‑450 设备不支持“ARP Spoofing(ARP 欺骗)”。 

6 单击“Apply(应用)”。应用之后,就可以在屏幕底部的“Layer 2 Pass‑Through Status(2 层通过状态)”对话框查看非 

常严重故障的次数以及当前的模式。 

任务 

您必须了解以下状态字段: 

• “Occurrences(发生次数)”:当前超过阈值的事件数目。 

• “Current Mode(当前模式)”:设备的当前模式。“Normal(正常)”表示设备尚未启用 2 层通过模式。“L2 

Pass‑Through Mode(2 层通过模式)”表示设备已启用通过模式。 

• 退出 2 层通过模式第 140 页 

检测 ARP 欺骗 

ARP(地址解析协议)欺骗检测是通过将 IP 地址表映射到对应的 MAC 地址完成的。如果检测到多个 ARP 回复数据包的 

发送者 MAC 地址与对应的 IP 不同,便会发出警报。可在 Threat Analyzer 中查看与 ARP 欺骗相关的警报。 

发生 ARP 欺骗时,欺骗的 ARP 数据包的 MAC 地址就是尝试欺骗的主机的实际 MAC 地址。 

有时误配置(两台不同的计算机使用相同的 IP 地址)和偶尔的系统故障(主机或交换机)也会造成这类 ARP 欺骗数据 

包。 

CLI 还提供以下命令协助实现 ARP 欺骗检测功能: 

• arp delete 可从数据库删除一个 MAC/IP 地址关联。 

• arp dump 可将数据库中当前 MAC/IP 地址对应表的内容保存到 Sensor.dbg 文件中,以供技术支持部门调试之用。 

• arp flush 删除 MAC/IP 地址对应表的内容。 

• arp spoof enable 启用 ARP 欺骗检测。(这类似于在 Manager 界面中启用它。) 

• arp spoof disable 可禁用 ARP 欺骗检测。(这类似于在 Manager 界面中禁用它。) 

• show arp spoof status 显示当前是启用还是禁用了 ARP 欺骗功能。 


对设备配置进行故障排除 5 

检测到 ARP 欺骗时会触发 ARP 欺骗警报。这些警报显示在 Manager 的Threat Analyzer 部件中。其名称带有“ARP:”前 

缀(例如,“ARP:ARP Spoofing with Different MAC Addresses(ARP: 使用不同 MAC 地址的 ARP 欺骗)”。) 


5 

退出 2 层通过模式 

要将处于 2 层通过模式的设备恢复为正常模式,请执行以下操作: 

任务 




1 单击“/Device List(设备列表)/Device_Name node(设备名称)节点” | “Troubleshooting(故障排除)” 

| “Layer 2 Settings(2 层设置)”。 

2 对于“Enabled(启用)”选择“No(否)”。 


4 重新启动设备。 

在设备“Access(访问)”选项卡中,可以执行以下操作: 

• 配置 TACACS+ 身份验证 

• 管理 NMS 用户 

• 管理 NMS IP 

配置 TACACS+ 身份验证 

TACACS+ 操作允许您启用和禁用所选设备的 TACACS+ 身份验证。 

任务 

1 选择“/Device List(设备列表)/Device_Name(设备名称)节点” | “Remote Access(远程访问) 

>TACACS+(TACACS+)”。 

2 选择“Yes(是)”启用 TACACS+。 

3 选择“Inherit from Parent Domain(从父域继承)”,以使用父域中的 TACACS+ 设置。 

4 在“IP Address(IP 地址)”字段中,输入“TACACS+ Server IP(TACACS+ 服务器 IP)”地址;最多可以为 TACACS 

+ 服务器输入四个 IP 地址。如果启用了 TACACS+,至少需要一个 IP 地址。 

5 在“Enable Encryption(启用加密)”中选择“Yes(是)”。 

启用加密时,需要在“Enable Encryption(启用加密)”字段中输入加密密钥。密钥的最大长度为 64 个字节。 

6 单击“Save(保存)”以保存配置。 

管理 SNMPv3 用户 

“SNMPv3 Users(SNMPv3 用户)”选项卡使您可以在设备级别管理 SNMP 用户。 

要管理 SNMP 用户,设备必须处于活动状态。设备可以创建各自的 SNMP 用户,也可以关联域中的用户。只能在设备 

中配置 10 位用户。 

导出和导入设备配置期间,只考虑在设备中直接创建的用户,而不考虑从域中分配的用户。 

通过 SNMP 用户功能,可以执行以下操作: 

• 分配域中的用户:将域中的可用用户添加到设备。 

• 将新的 SNMP 用户添加到设备:将新用户添加到设备。 


• 编辑 SNMP 用户:编辑 NMS 用户。 

• 删除 SNMP 用户:从设备中删除已分配的 NMS 用户或从设备中删除新的用户。 

分配域中的用户 

任务 

只能向设备分配或添加 10 个用户。 

1 选择“/Device List(设备列表)节点” | “Remote Access(远程访问)” | “SNMPv3 Users(SNMPv3 用 

户)”。 

2 从“SNMPv3 User List(SNMPv3 用户列表)”中选择用户。 

用户列表包括添加设备的域中定义的所有用户以及其父域的用户。 

3 单击“Allocate(分配)”。 


系统即会立即将该用户分配给设备。 

将新 SNMP 用户添加到设备 

您可以在设备级别添加 SNMP 用户。 

要添加 SNMP 用户,请执行以下操作: 

任务 

1 选择“/Device List(设备列表)/Device_Name(设备名称)节点” | “Remote Access(远程访问)” | 

“SNMPv3 Users(SNMPv3 用户)”。 


此时将显示“Add SNMPv3 User Account(添加 SNMPv3 用户帐户)”对话框。 

3 输入“User Name(用户名)”。 

用户名的长度应介于 8 到 31 个字符之间。可以包含字母和数字。不允许包含特殊字符和空格。 


管理设备访问 5 

4 输入“Authentication Key(身份验证密钥)”(在“Confirm Authentication Key(确认身份验证密钥)”中重新输入)。 


5 



5 输入“Private Key(专用密钥)”(在“Confirm Private Key(确认专用密钥)”中重新输入)。 


身份验证密钥和专用密钥的长度应介于 8 到 15 个字符之间。 

由于通过 SNMP 3 版进行通信,因此受支持的身份验证协议为“MD5”,加密算法为“DES”。 

该用户现已添加到设备中,并且显示在“SNMPv3 User List(SNMPv3 用户列表)”中。 

编辑 SNMP 用户 

只有在设备级别创建的用户才可以在设备中进行编辑。 

要编辑以前添加的 SNMP 用户,请执行以下操作: 

任务 



2 从列表中选择在设备中创建的 SNMP 用户。 


4 输入“Authentication Key(身份验证密钥)”和“Private Key(专用密钥)”(在“Confirm Authentication Key(确认身份验 

证密钥)”和“Confirm Private Key(确认专用密钥)”中进行确认)。 

5 单击“Save(保存)”,或者单击“Cancel(取消)”以放弃。 

删除 SNMP 用户 

可以从设备节点级别删除 SNMP 用户。 

要删除 SNMP 用户,请执行以下操作: 

任务 



2 从“SNMP User List(SNMP 用户列表)”中选择用户。 



管理 NMS IP 地址 

如果删除已分配的用户(在域中创建的用户),则只会从设备节点级别删除该用户,而不会从域中删除该用户。 

通过“NMS IP”操作,可以执行以下活动: 

• 分配域中的 IP 地址:将 IP 地址添加到设备。 

• 将新的 NMS IP 地址添加到设备:分配域中的可用 IP 地址。 

• 删除 NMS IP 地址:从设备和域中删除 NMS IP 地址。 

分配域中的 IP 地址 

第三方 NMS (SNMP over IPv6) 仅在 I 系列设备的 8500 端口上受支持。NMS 不适用于 I 系列设备的默认端口 161。 

设备可以继承域中的 NMS IP 地址配置。要分配 IP 地址,请执行以下操作: 


任务 

1 选择“/Device List node(设备列表节点)” | “Remote Access(远程访问)” | “Permitted NMS(允许的 

NMS)”。 

2 单击“Allocate(分配)”。 

3 选择“NMS IP”地址。 


系统随即会将该 IP 地址分配给设备。 

将新 NMS IP 地址添加到设备 

要从 Manager 向设备中添加 NMS IP 地址,请执行以下操作: 

任务 

1 选择“/Device List(设备列表)节点” | “Remote Access(远程访问)” | “Permitted NMS(允许的 NMS)”。 


此时将显示“Add NMS IP(添加 NMS IP)”页。 

3 在“IP Address(IP 地址)”中,输入 NMS IP 地址。您可以输入 IPv4 或 IPv6 地址。 


删除 NMS IP 地址 

添加“NMS IP address(NMS IP 地址)”时,最多可以添加 10 个 IPv4 地址和 10 个 IPv6 地址。 

可以从设备和域中删除 NMS IP 地址。 

要删除 NMS IP 地址,请执行以下操作: 

任务 

1 选择“/Device List(设备列表)节点” | “Remote Access(远程访问)” | “Permitted NMS(允许的 NMS)”。 

2 从“Permitted List(允许的列表)”中选择 IP。 



如果删除已分配的 IP 地址,则只会从设备中删除该地址,而不会从域中删除该地址。 


管理设备访问 5 

用户只能从上面添加的 NMS IP 地址与设备进行通信。在已删除的 IP 地址处于不活动状态下 180 秒之前,用户始终 

可以与设备进行通信。如果在 180 秒前从同一个 IP 地址发出请求,则来自该 IP 的连接在以后的 180 秒内始终有效。 


5 




设备“Performance Monitoring(性能监控)”功能提供了一种实用的方法,用来监控 Manager 中所配置设备的负载。通过 

可在 Manager 界面中配置和监控的指标,可制定主动式容量规划。指标和阈值提供了一种非常容易的方法来将设备作 

为网络故障的根本原因隔离,或将其作为故障原因来排除故障。可以通过“实时”(每隔几秒)查看各种关键指标的值来了 

解设备在任意给定的时段内的运行状况。可以通过设备“Performance Monitoring(性能监控)”决定容量规划,以确定何 

时替换设备以支持更大的容量。当需要用更多信息来识别故障发生的位置时,故障排除是一种特殊的使用方案。 

如果您使用的是 MDR,设备将尝试向两个 Manager 发送警报和系统事件。如果其中一个 Manager 无法访问,则只有可 

访问的 Manager 将接收该事件。同样地,只会在可访问的 Manager 中生成“Performance Monitoring(性能监控)”阈值警 

报。因此,Manager 中的某些警报有可能会漏掉或未予清除。 

N‑450 设备无法进行设备性能监控。 

另请参阅 

查看设备性能设置摘要第 68 页 

自定义指标显示第 86 页 

启用设备性能监控第 69 页 

查看设备性能设置摘要 

设备性能指标和阈值可以通过根管理域和子管理域中“Device list(设备列表)”节点以及“device_name(设备名称)”节点 

中的设备“Performance(性能)”选项卡进行配置。 

单击以下任意选项即可查看“Summary(摘要)”选项卡: 

任务 






“或/Device List(设备列表)/device_name(设备名称)” | “Performance Monitoring(性能监 



4 从根管理域的“Device List(设备列表)”/“Failover Pair(故障转移对)”节点中: 



“Performance Monitoring(性能监控)”选项卡有五个子选项卡,即“Summary(摘要)”、“Enable(启用)”、“Metrics 

(指标)”、“Thresholds(阈值)”和“Display(显示)”。“Summary(摘要)”页概括了“Enable(启用)”、“Metrics(指 

标)”、“Thresholds(阈值)”和“Display(显示)”选项卡中的设备性能监控设置。“Summary(摘要)”选项卡下方显示的 

值为“只读”信息。 

另请参阅 


启用设备性能监控 

设备“Performance Monitoring(性能监控)”的整体状态可以在设备“Performance(性能)”选项卡的 “Enable(启用)”子选 

项卡中进行控制。设备“Performance Monitoring(性能监控)”可以通过 Manager 以下位置中相关的选项设置启用: 

任务 






任务 

“/Device List(设备列表)/device_name(设备名称)” | “Performance Monitoring(性能监控)” | 

“Enable(启用)” 

以下部分详细说明了启用设备性能监控的过程: 

• 在管理域节点启用设备性能监控 

• 在“设备名称”节点启用设备性能监控 

• 在管理域节点启用设备性能监控第 69 页 

• 在“设备名称”节点启用设备性能监控第 72 页 




5 



另请参阅 


在“设备名称”节点启用设备性能监控 

当从“Device_Name(设备名称)”节点访问“Enable(启用)”页时,该页将用于在特定设备级别控制设备的“Performance 

Monitoring(性能监控)”的整个状态。 

“Device_Name(设备名称)”节点上的“Enable(启用)”页提供了启用或禁用性能指标收集(具有与所选设备相关的选项) 

的选项。在“Device_Name(设备名称)”节点上,可选择是否从父管理域继承设置。 


任务 


“Enable(启用)”。 




任务 

• 在“设备名称”节点级别启用或禁用指标收集第 72 页 

• 在“设备名称”节点级别启用或禁用系统故障第 73 页 

另请参阅 


在“设备名称”节点级别启用或禁用系统故障 


项。 

按照以下过程可以在“Devices_Name(设备名称)”节点级别启用或禁用系统故障: 

任务 







障。 


在“设备名称”节点级别启用或禁用指标收集 



按照以下过程可以在“Device_Name(设备名称)”节点级别启用或禁用指标收集: 

任务 




2 对“Performance metrics are collected from devices and used to produce performance‑related graphs and reports. 

Would you like to enable performance metric collection?(将从设备中收集性能指标并用于生成与性能相关的图形和 

报告。是否要启用性能指标收集?)”选项,选择“Yes(是)”以启用指标收集,或选择“No(否)”以禁用指标收集。 


配置指标收集 

可以在根管理域设备节点、子管理域设备节点以及“Device_Name(设备名称)”节点配置指标收集。启用了指标收集之 

后,设备会将核心指标自动转发到 Manager。核心指标为 Sensor CPU 利用率、Sensor TCP/UDP 流利用率以及 

Sensor 吞吐量利用率。 

另请参阅 



在“设备名称”节点配置指标收集 

按照以下过程可以在“Device_Name(设备名称)”节点上启用指标收集: 

任务 

1 单击“//Device List(设备列表)/Device_Name(设备名称)” | “Performance Monitoring(性能监 

控)” | “Metrics(指标)”,查看“Metrics(指标)”页。 













启用了指标收集之后,设备会将核心指标自动转发到 Manager。 




5 



另请参阅 



设置阈值 

阈值可进行如下设置:通过在超过设定阈值时触发系统故障的方式,用视图来警告用户。例如,在 Sensor CPU 利用率 

超过阈值上限(如 90%)时触发系统故障。 

可以为以下项设置阈值:CPU 利用率、Sensor 吞吐量、端口吞吐量、L2 错误丢弃(此处第 2 层是指过多的 CRC 和以 

太网数据包符合性错误)和 L3/L4 错误丢弃(此处第 3/4 层是指过多的校验和以及协议错误)。可以在根管理域设备列 

表节点、子管理域设备列表节点以及“Device_Name(设备名称)”节点上对阈值进行设置。阈值页用来为选择的指标更改 

阈值,并选择在超过这些阈值时发送警报(生成系统故障)。所设的阈值表示每分钟的平均值。 

将在重新启动时刷新给定设备的阈值警告。最多可以继承两个管理域级别的设置。 

另请参阅 



在管理域节点上设置 L2 错误丢弃阈值第 80 页 

在管理域节点上设置 L3/L4 错误丢弃阈值第 83 页 




在设备名称节点下设置 L2 错误丢弃阈值第 82 页 

在设备名称节点下设置 L3/L4 错误丢弃阈值第 84 页 

在设备名称节点下设置 CPU 利用率阈值 

按照以下过程可以在“Device_Name(设备名称)”节点上设置 CPU 利用率阈值。 

任务 





2 在“Metric(指标)”旁边的下拉列表中选择“CPU Utilization(CPU 利用率)”。 


值大)。 





另请参阅 



在设备名称节点下设置 Sensor 吞吐量阈值 

按照以下过程可以在“Device_Name(设备名称)”节点上设置 Sensor 吞吐量阈值。 

任务 







值大)。 






另请参阅 



在设备名称节点下设置 L2 错误丢弃阈值 

按照以下过程可以在“Device_Name(设备名称)”节点上设置 L2 错误丢弃阈值。 




5 



任务 





值大)。 


5 单击“Save(保存)”以“save(保存)”设置。 

另请参阅 



在设备名称节点下设置 L3/L4 错误丢弃阈值 

按照以下过程可以在“Device_Name(设备名称)”节点上设置 L3/L4 丢弃阈值。 

任务 






值大)。 



另请参阅 




(设备列表)中的设置。 

在设备名称节点下设置端口吞吐量利用率阈值 

在“Device_Name(设备名称)”节点上可对端口吞吐量利用率进行配置。按照以下过程可以在“Device_Name(设备名称)” 

节点上设置端口吞吐量利用率阈值。 

任务 





2 在“Metric(指标)”旁边的下拉列表中选择“Port Throughput Utilization(端口吞吐量利用率)”。 


值大)。 

4 单击某行上的“+”,可对该行进行复制。 

5 单击“Edit(编辑)”以在弹出的窗口中编辑该行的当前端口值。 








“Port Throughput Utilization(端口吞吐量利用率)”指标适用于设备级别的配置,但不适用于管理域的“Device List(设 

备列表)”级别。 


5 



另请参阅 



自定义指标显示 

基于指标的信息在 Threat Analyzer 中以图形方式显示。指标在 Threat Analyzer 中以彩色编码显示。设备的类别对于每 

个指标有低(绿色)、中(黄色)或高(红色)利用率。显示页用于自定义百分比级别(用来将设备分组到每个彩色编码类 

别中)。可在根管理域节点上对指标显示进行配置。 

按照以下过程可以自定义百分比级别(用于根据每个类别对设备进行分组)。 

任务 

1 单击“/Device List(设备列表)” | “Performance Monitoring(性能监控)” | “Display(显示)”。 

2 在“Value%(值百分比)”列中输入所需的指标值 


显示设置仅在根域级别中可用(在设备和子域级别中不可用)。 

另请参阅 



6 


串联监控模式通过允许安全管理员选择要丢弃的攻击/流量类型来防止攻击,从而防止当今常见的网络攻击对终端系统造 

成的负面影响。串联模式是将 Sensor 直接放在网段的路径上,就像是路障一样,让所有数据包都会通过 Sensor。在该 

模式下,Sensor 以线速检查所有流量,并可通过实时丢弃恶意流量来防止网络攻击,Sensor 实际上在攻击传输抵达并 

影响目标之前就会将其终止。这种预防性措施可以做到非常细微的地步,例如自动丢弃针对特定主机的 DoS 流量。 

采用串联模式时,网段必须连接到 Sensor 的两个配对连接端口(例如对等端口 1A 和 1B),数据包通过 Sensor 时会受 

到实时检查。在该模式下,数据包会通过 Sensor 端口对的第一个接口流入,然后通过端口对的第二个接口流出。除非 

数据包被特征码拒绝或修改,否则该数据包将会发送到端口对的第二个接口。 

2.1.7 版,Sensor 端口配置成以串联模式监控;即在网段上串联连接(例如,位于交换机和路由器之间或两个交换机之 

间)。2.1.7 或更高版本软件的 Sensor 最初将联机显示,并以串联模式成对配置其对等端口。 

目录 

串联运行的优点 

此更改不会覆盖用户配置的设置。部署的 Sensor 已升级到 2.1.7 或更高版本,并将保留其用户配置的设置。 

串联运行的优点 

串联部署演练 

确定高可用性策略 

Sensor 的安装和电缆连接 

故障转移:将两个 Sensor 配置为串联模式 

以串联模式使用 Sensor 具有以下优点: 

• 保护/预防。预防是串联模式特有的功能。当 Sensor 以串联模式运行时,一遇到恶意数据包便会立刻丢弃,绝对不 

会让它们通过网络。这有点像“自适应防火墙”,由检测策略决定要丢弃的数据包。此外,在丢弃数据包时,Network 

Security Platform 的判定非常精确细致。Sensor 只丢弃确定为恶意的数据包,或与恶意通信流相关的所有数据包(用 

户可以配置选项)。 

• 数据包“净化”。除了丢弃恶意流量之外,Network Security Platform 还可以净化(或规范化)流量,去除协议中任何 

可能被攻击者用来逃避检测的模糊内容。当前的 IDS 产品都有可能被这些技巧蒙混过去,IP 碎片和 TCP 片段重叠 

就是典型的例子。Sensor 可以重组 IP 碎片和 TCP 片段,并强制执行用户选择的重组模式来接受旧数据或新数据。 

• 以线速处理。Sensor 能以线速处理数据包。 

在串联模式中,Sensor 从逻辑上就像一个完全通透的转发器,其处理数据包所造成的延迟非常微小与桥接器、路由 

器及交换机不同,Sensor 不需要学习 MAC 地址,也不必保存 ARP 缓存或路由表。 


6 




串联模式可让 Sensor 以保护/预防模式运行,对数据包进行实时检查,并立即处理入侵的数据包;由于 Sensor 位于所 

有网络流量必经的路径上,因此会主动丢弃恶意的数据包。这样可以真正防止攻击到达目标。 

任务 

确定高可用性策略 

1 确定 Sensor 的最佳高可用性策略。 

这表示您希望 Sensor 在出现故障时该怎么办(即,失效打开、失效关闭或支持故障转移/高可用性配置)。 

2 在网络上实际安装 Sensor,并根据您选择的部署模式使用用电缆连接 Sensor。 

例如,用电缆独立连接 Sensor(如果适用,配置为失效打开,或将两个 Sensor 配置为故障转移对的一部分)。 

3 配置 Sensor 监控端口。 

4 为串联端口配置一个或多个策略。 

5 了解阻止的工作方式,并配置阻止。 

您必须使用 Manager 完成 Sensor 的大多数配置,包括端口配置、将两个 Sensor 配对以实现失败转移操作以及配置 

并应用策略来检测和丢弃恶意流量。 

以串联方式连接 Sensor 之前,请考虑 Sensor 中断的影响及其对网络的影响。在串联模式中,Sensor 实际上已成为网 

络的单一故障点。Network Security Platform 提供各种选项,以在 Sensor 发生故障时将网络中断时间降至最低。例如, 

Sensor 支持完整状态的故障转移,提供行业内第一套真正高可用性 IPS 部署,类似于防火墙一样。如果以串联模式运 

行 Sensor,McAfee 建议以冗余方式部署两个 Sensor,以实现故障转移保护。 

故障转移或高可用性 

当冗余是基本要求时,最佳方法是实现 Network Security Platform “高可用性”配置。当以串联方式运行 Sensor 时,该 

选项可用于以串联模式冗余部署一对完全相同的 Sensor(同一型号、软件映像和特征码集)。Sensor 对中的两个 

Sensor 处于活动状态并共享完整状态,因此这两个 Sensor 上的信息始终是最新信息。两者之间的延迟很短,比其他提 

供故障转移功能的设备(如防火墙)都要短。 

Network Security Platform 故障转移体系结构的要点如下: 

• 配置为故障转移的 Sensor 每秒确认一次“检测信号”。 

• 配置为故障转移的 Sensor 实时共享流信息。 

• Sensor 在第 2 层和更高层不可见,监控端口甚至没有 MAC 地址。 

因此,向环境中引入 Network Security Platform 故障转移时,无需担心第 2 层和第 3 层拓扑会发生更改;万一 

Sensor 发生故障,会在瞬间进行故障转移并保持连接状态。 

所有 Sensor 型号都支持故障转移。 

另请参阅 

故障转移:将两个 Sensor 配置为串联模式第 159 页 


失效打开或失效关闭功能 

以串联模式部署的 Sensor 端口允许您选择在失效时是开放还是关闭。失效打开的端口,类似于防火墙的运行,允许网 

络流量继续通过。因此,即使端口失效,Sensor 也不会成为瓶颈。但是会停止监控,并允许所有流量继续流经网络,这 

可能导致攻击对您的网络系统造成影响。如果将端口配置成失效关闭,则 Sensor 将不允许网络流量继续通过,因此失 

效的端口变成瓶颈,阻止所有流量通过 Sensor。 

当 Sensor 处于旁路模式时,可能带来安全性后果。当旁路模式开启时,流量会绕过 Sensor 并不受检验。因此,Sensor 

无法阻止恶意攻击。 

有两个可用的失效打开选项: 

使用外部硬件的失效打开 

10/100 和 GE 链路可用的串联失效打开模式确保当 Sensor 的进程临时停止以进行升级或当 Sensor 出现故障时,可以 

通过受监控的链路转发数据。在检测到硬件故障时使用与监控端口连接的内部机械 Tap 为 10/100 端口对提供这一保证。 

10/100 配置是依据端口对所进行的选择。千兆位失效打开实现涉及使用外部千兆位失效打开套件,该套件包括旁路交换 

机。 

请注意,Sensor 故障将中断 Sensor 两端连接设备的链路,并需要重新协商连接到 Sensor 的两个对等设备之间的网络链 

路。 

两个对等设备之间链路层的重新协商所导致的中断时间随网络设备的不同而有所不同。对于某些供应商的设备,这一时间 

可能是数秒,也可能是一分多钟。 

在 Sensor 和其中一个对等设备之间的链路进行重新协商,以将 Sensor 重新置于串联模式时,还可能会发生短暂的链路 

中断。同样,这一中断时间会随设备的不同而有所不同。可能是数秒,也可能是一分多钟。 

使用第 2 层通过 (L2) 功能的失效打开 

第 2 层通过功能也称为“软件失效打开”。当触发 L2 功能时,会导致流量在未被复制到检测引擎的情况下流经 Sensor。 


第 2 层通过功能选项专门用于处理内部 Sensor 错误;而并不是其他 HA 选项(如失效打开套件)的备用选项。 

每个 Sensor 型号都附带文档,介绍如何安装该 Sensor 以及配置它与 Manager 进行通信。此文档由型号特定的“产品手 

册”和“快速入门手册”组成。这些文档提供详细的 Sensor 安装、配置和电缆连接说明。 

根据您的部署策略,可能需要特殊的设备。某些 Sensor 型号有高速以太网 (FE) 端口。每个 FE 端口都需要一个 

Network Security Platform 连接器实现串联失效关闭模式。连接器包含在 FE 端口 Sensor 中。千兆位以太网 (GE) 端 

口 Sensor 需要可选的千兆位失效打开旁路套件(可选单模式、光纤多模式或铜口)来实现串联失效打开模式,可选套件 

是单独销售的。 

下表显示了每个 Network Security Sensor 型号的监控端口类型。 

Sensor 监控端口类型失效打开行为 

I‑4010 GE 端口失效关闭;需要外部失效打开套件 



I‑2700 FE 端口 GE 端口失效打开;不需要额外的硬件失效关闭;需要额外的失效打开套件 

I‑1400 FE 端口失效打开;不需要额外的硬件 

I‑1200 FE 端口失效打开;不需要额外的硬件 


Sensor 的安装和电缆连接 6 


6 



Sensor 监控端口类型失效打开行为 

M‑8000 GE 端口失效关闭;需要外部失效打开套件 





M‑1450 GE 端口内置失效关闭和失效打开 

M‑1250 GE 端口内置失效关闭和失效打开 

N‑450 GE 端口失效关闭;需要外部失效打开套件 

快速以太网监控端口电缆连接 

某些 Sensor 型号上可用的 FE 端口为失效打开,不需要额外的硬件,只需用电缆连接端口对(例如 1A‑1B)。 

FE 端口的失效关闭模式需要在端口对的每根连接电缆上使用失效关闭连接器。与 Sensor 一起提供的失效关闭连接器用 

于补充 10/100 监控端口的功能。将连接器插入 Sensor 的 10/100 监控端口,然后将 Cat 5/Cat 5e 电缆连接到连接器。 

千兆位以太网监控端口电缆连接 

千兆位以太网 (GE) 端口的失效打开模式要求使用外部千兆位失效打开套件。该套件包括一个千兆位旁路交换机和一个 

将交换机连接到 Sensor 的适配器。 

GE 端口的失效关闭模式不需要额外硬件,只需使用光纤电缆连接 GE 端口对(例如:1A‑1B)。 

有关如何用电缆连接 Sensor 和千兆位失效打开套件的信息,请参阅该套件随附的文档。例如,千兆位铜口套件中包含 

“McAfee Network Security Platform 千兆位铜口失效打开套件手册”。 

故障转移对电缆连接 

故障转移需要通过一条或多条互连电缆配对连接 Sensor。配对 Sensor 之间的通信可维护故障转移检测信号和状态信 

息。 

没有适用于所有 Sensor 型号的标准检测信号端口。用于连接两个 Sensor 的端口取决于 Sensor 型号。下面介绍 

Sensor 型号及其故障转移互连端口。 

Sensor 故障转移端口 

I‑4010 HA1 和 HA2(6A 和 6B) 

I‑4000 2A 和 2B 

I‑3000 HA1 和 HA2(6A 和 6B) 

I‑2700 4A 

I‑1400 响应端口 1 (R1) 

I‑1200 响应端口 1 (R1) 


M‑8000 HA1 和 HA2(3A 和 3B) 

M‑6050 HA1 (4A)。请注意,HA2 (4B) 保留不用 

M‑4050 2A 

M‑3050 2A 

M‑2750 10A 



M‑1450 4A 

M‑1250 4A 

N‑450 10A 和 10B 

以下是电缆连接规则的快速摘要: 

• 检测信号连接的电缆连接必须是直接的;您不能通过其他网络设备(如交换机)进行检测信号电缆连接。 

• 当每个 Sensor 上使用两个端口进行检测信号连接时,一定要用电缆连接相同端口名。例如,Sensor 1 上的端口 

2A 必须与 Sensor 2 上的端口 2A(而不是 2B)连接。 

配置 Sensor 监控端口 

在安装和使用电缆连接 Sensor 之后,必须配置 Sensor 端口。以下列表概述了端口配置要求: 

• 端口配置必须与 Sensor 的电缆连接相匹配:例如,如果您不使用失效打开套件连接电缆,该端口必须配置为串联、 

失效关闭模式,而不是失效打开。 

• 端口必须设置为“串联”以及“失效打开”或“失效关闭”(根据需要)。 

• 端口必须处于启用状态。 

关于 Sensor 端口配置 

在配置 Sensor 端口之前,您必须已经安装 Sensor 并将其添加到 Manager 界面。 

为单个 Sensor 配置串联模式 

本部分包含在串联模式下部署单个 Sensor 的建议。 


Sensor 的安装和电缆连接 6 

失效打开套件的配置在失效打开套件文档中介绍。例如,要将 Sensor 配置为可使用铜口失效打开套件,请参阅“McAfee 

Network Security Platform 千兆位铜口失效打开旁路套件手册”。 


6 



任务 

1 在 Manager 界面中,请选择“My Company(我的公司)” | “Device List(设备列表)” | “” | “Sensor_Name(Sensor 名 

称)” | “Physical Device(物理设备)” | “Port Settings(端口设置)”。 

2 在“Monitoring Ports(监控端口)”中单击一个端口编号(例如 4A)。 

“View Monitoring Port(查看监控端口)”窗口即会显示当前端口设置。 

图 6-1 验证 GE 串联失效打开模式的端口和旁路交换机状态 

3 将“Administrative Status(管理状态)”设置为“Disable(禁用)”(关闭)。 

4 选择端口的“Speed(速度)”。 

5 执行以下任一操作: 

• 对于串联失效关闭操作,请选择“In‑line Fail‑closed (Port Pair) as the Operating Mode(串联失效关闭(端口对) 

作为工作模式)”。 

• 对于串联失效打开操作,请选择“In‑line Fail‑open (Port Pair)(串联失效打开(端口对))”作为工作模式。确认 

(“Yes(是)”)您已连接旁路交换机和控制器或控制电缆。 

图 6-2 GE 接口光纤旁路交换机连接确认 

6 选择当前端口要连接的网络区域:“Inside(内部)”(流量从内部发起,目标是外部网络)或“Outside(外部)”(流量从 

外部发起,目标是内部网络)。 

7 将“Administrative Status(管理状态)”设置为“Enable(启用)”(打开)。 



9 单击“Commit Changes(提交更改)”。 

10 对需要配置的任何其他端口重复这些操作。 

11 将所做的更改下载到 Sensor。 

另请参阅 



在故障转移配置中,两个 Sensor 串联在一起,通过电缆互相连接,配置成故障转移对。所有流量都会相互复制给对方 

共享,以便保持状态。Sensor A 会将其监控端口收到的数据包复制一份,通过互连端口传给 Sensor B,反之亦然。由 

于两台 Sensor 都看得到所有流量,并据此建立状态,因此两者的状态信息始终都保持同步。 

两台 Sensor 都会看到所有数据包(当它们都正常运行时),但检测到攻击时,只有其中一台 Sensor 会发出警报。 

在部署采用故障转移模式的两个 Sensor 时,必须确保以下事项: 

• Sensor 互联端口必须使用电缆正确连接,以便两个 Sensor 能够通信。 

• 两个 Sensor 必须为同一型号类型,并加载了相同的特征码集和软件。(两个 Sensor 中有一个可能是“故障转移 

(FO)”Sensor 型号,该 Sensor 是功能完全的 Sensor,但限于执行作为故障转移对一部分的操作;它不能独立运 

行。) 

• 此外,两个 Sensor 上的所有端口都必须配置为以串联模式运行。 

创建故障转移对 

将用于检测信号的端口除外。例如,在 I‑2700 上,您不需要显式配置端口 4A/4B 以串联模式运行,这是因为当创建 

故障转移对时,将自动为心跳配置 4A 并禁用 4B。 

使用 Manager 的“System Configuration Tools(系统配置工具)”页,可以创建故障转移对。故障转移对的创建可实时进 

行,无需显式更新配置。 

任务 

按照设计,主 Sensor 的配置被复制到次 Sensor,从而覆盖次 Sensor 的原始配置。如果要将两个 Sensor 都配置为失效 

关闭或失效打开,则只需要在故障转移对创建过程中对要指定为主 Sensor 的 Sensor 上的端口进行配置。 

If y但如果要将一个 Sensor 配置为失效关闭,而将另一个配置为失效打开,则必须在创建故障转移对之后重新访问“Port 

Configuration(端口配置)”页,并进行适当的更改。 

1 单击“/My Company(我的公司)/Device List(设备列表)” | “Device List(设备列表)” | “Failover Pairs(故障转移 

对)”。 


即会打开“Add a Failover Pair(添加故障转移对)”对话框。 

3 选择 Sensor 的“Model(型号)”类型。 

故障转移对中的两个 Sensor 必须为同一型号。 

4 键入故障转移对的“Name(名称)”,用于唯一标识这一组合。 

5 从下拉菜单中选择主 Sensor “Template Device(模板设备)”。 


故障转移:将两个 Sensor 配置为串联模式 6 


6 



6 从下拉菜单中选择次 Sensor “Peer Device(对等设备)”。 

7 单击“Create(创建)”。保存时,会出现一条消息,以提示故障转移对的创建需要一段时间。 

8 单击“OK(确定)”。新的故障转移对将显示为创建时所在 Sensor 节点的子节点。 

该节点包含参与故障转移过程的每个接口的图标。故障转移对节点中还有一个由其成员 Sensor 组成的列表。 

大多数配置选项随后将在故障转移对节点级别完成。例如,您现在可以在故障转移节点级别应用策略或更新配置, 

它会自动传播到每个成员 Sensor。另一方面,您仍然可以在 Sensor 节点级别配置端口设置、查看接口统计数据并 

升级 Sensor 软件。了解故障转移对配置过程最简单的方式是在创建故障转移对之后检查用户界面。 

Sensor 运行的软件版本必须与要在故障转移配置中运行的软件版本相同。但是,即使这些 Sensor 是故障转移对的一 

部分,也应在 Sensor 级别升级软件。因此,建议您采取以下升级步骤:升级两个 Sensor 上的软件,然后按顺序重新 

启动 Sensor。也就是说,在两个 Sensor 上完成升级过程之后,重新启动(例如)次 Sensor,确认它重新启动并且无 

错误后,再重新启动主 Sensor。 

将配置、特征码集和软件更新下载到 Sensor 

将端口配置为串联模式,设置 TCP/IP 参数,并自定义和应用策略之后,您需要将该配置下载到 Sensor,所有更改才能 

生效。 

• 配置更改,包括端口配置、策略和特征码集更新: 

“/My Company(我的公司)/Device List(设备列表)/Sensor_Name(Sensor 名称)>Physical Device(物理设 

备)” | “Configuration Update(配置更新)” 

• 软件更新仅为:“/My Company(我的公司)/Device List(设备列表)/Sensor_Name(Sensor 名称)” | “Physical 

Device(物理设备)” | “Software Upgrade(软件更新)” 

另请参阅 




7 

配置 Sensor 实现高可用性 

目前,大多数网络都存在一定程度的内部冗余。但根据环境的不同,网络对故障的承受程度有所不同。例如,一个设置 

可能具有两条出入 Internet 的完全冗余的路径,另一个设置可能具有主防火墙和次防火墙,而单一故障点位于其他位置。 

网络设备通常在 OSI 模型的第 2 层或第 3 层提供冗余。也就是说,这些设备利用现有的切换或路由基础架构来提供容 

错。 

例如,热备用路由器协议 (HSRP ‑ RFC 2281) 和虚拟路由器冗余协议 (VRRP ‑ RFC 2338) 的原理是两个或多个路由器 

共享一个虚拟 IP (VIP) 地址。一个路由器起主要作用并“拥有”VIP;当一切正常时,定向到 VIP 的所有流量均发送到主 

路由器。如果主路由器离线,则备用路由器自动升级并获得所有权。 

由于大多数网络设备在第 2 层或更高层运行,因此,集成冗余通常需要更改逻辑拓扑。举一个简单的示例,要添加上述 

路由器冗余,则必须将所有下行路由器重新配置为使用新 VIP 作为其默认网关。 

目录 

Network Security Platform 故障转移体系结构 

Sensor 故障转移实现 

了解当前的网络拓扑 

确定最佳 Sensor 位置 

配置各 Sensor 的端口 

连接器的工作原理 

实际安装 Sensor 

定义 Network Security Platform 故障转移对 

检测信号电缆连接 

检验故障转移配置 

Sensor 高可用性的网络方案 

Network Security Platform 故障转移体系结构 

Network Security Platform 的设计考虑了高可用性的要求。事实上,一些人最初对 Network Security Platform 故障转移 

的可能性产生困惑,通常是因为其实现过程实际上比他们开始预想的要简单。 

请注意有关 Network Security Platform 故障转移体系结构的以下几点: 

• Sensor 在第 2 层和更高层不可见,监控端口甚至不具有 MAC 地址。 

• 配置为故障转移的 Sensor 每秒确认一次“检测信号”。 

• 配置为故障转移的 Sensor 实时共享流信息。 

因此,向环境中引入 Network Security Platform 故障转移时,无需担心第 2 层和 3 层拓扑会发生更改;万一 Sensor 发 

生故障,会在瞬间进行故障转移并保持连接状态。 


7 




典型的 Network Security Platform 故障转移实现过程包括以下步骤: 

• 了解当前的网络拓扑 • 定义 McAfee Network Security Platform 故障转移对 

• 确定最佳 Sensor 位置 • 检测信号电缆连接 

• 配置各 Sensor 的端口 • 检验故障转移配置 

• 实际安装 Sensor 

了解当前的网络拓扑 

在后面的章节中,我们将详细介绍以上各个步骤。 

了解当前网络拓扑对于正确规划 Network Security Platform 故障转移解决方案的重要性。对现有数据流的了解越深入, 

在实现过程中遇到障碍的可能性就越小。 

最常见的网络拓扑可归结为以下几类: 

• 双路径 ‑ 主动/被动 

• 双路径 ‑ 主动/主动 

• 单路径 

双路径 - 主动/被动 

目前,大多数冗余链路都由主动路径或被动路径组成。网络内外有两个路径,但实际上只有一个路径在任何给定的时间 

可用。传送流量的路径称为主动路径,在发生故障时备用的路径称为被动路径。 

HSRP、VRRP、生成树协议 (STP) 和动态路由协议(如 OSPF、EIGRP 和 BGP)都称得上是最常见的自动化网络故障 

转移技术。无可否认,其中许多技术都包括用来平衡流量的选项,但这些选项在以前都配置为一次仅允许一个路径传送 

流量。 

双路径 - 主动/主动 

某些网络会保留两个出入 Internet 的主动路径。正常情况下,这两个路径不仅会产生冗余,还可能会使可用带宽加倍。 

除非发生故障,否则,大多数情况下,这两个路径并不用于共享流量。当一切正常时,会在其中一个路径建立流,来自 

该流的所有数据包都会遍历同一路径。 

但某些情况下,网络基础架构被设计为在正常情况下跨这两个路径。例如,入站请求可能从路径 A 流入,出站响应可能 

从路径 B 流出。此流量被称为非对称路由流量。 

当然,如果一个路径变为不可用,则所有流量都会通过余下的路径路由。 

单路径 

某些网络未包含大量冗余或者没有任何冗余。在这种情况下,存在一个或多个单一故障点。 

如果其中某个非冗余设备发生故障,则与 Internet 的连接也会中断。 

大多数选择在冗余 Network Security Platform 解决方案上投资的公司同时还会在出入其网络的冗余路径上投资。也就是 

说,许多公司都具有单一故障点,但仍坚持实现 Network Security Platform 故障转移。 



上一节主要用作参考。好消息是,无论网络故障转移配置是主动‑主动、是否经过非对称路由、主动‑被动,还是由单路 

径组成,Network Security Platform 故障转移过程都完全相同。 

详细信息如下: 

• 故障转移对中的两个 Sensor 都始终处于活动状态。这样,就可以保护活动冗余路径所在的网络。 

• 但此做法不会阻止 Sensor 对被动次路径所在的网络进行保护;被动路径上的 Sensor 不会将任何流信息传送给其对 

等 Sensor。 

• 故障转移对中的 Sensor 会独自进行扫描,但是会在扫描过程中使用彼此共享的信息。这样,如果通过两个 Sensor 

对流进行非对称路由,则每个 Sensor 都会路由整个流。 

冗余路径上的冗余 Sensor 


确定最佳 Sensor 位置 7 

通常很容易确定 Sensor 在冗余网络上的最佳物理位置。如果您暂时忽略 McAfee Network Security Platform 故障转移, 

则根据经验放置 Sensor 的方法是将 Sensor 沿信任边界安装,该信任边界与通常指导防火墙放置的信任边界相同。事实 

上,大多数 Sensor 都直接安装在公司防火墙内或防火墙外。当然,同防火墙一样,Sensor 也可以在企业内部深处使 

用,以将一个网段与下一个网段隔离。 


7 



这一基本规则同样适用于 Network Security Platform 故障转移。例如,如果当前网络中平行的防火墙连接到平行的交换 

机,则您可以在两者之间引入平行的 Sensor。下面的一组示意图是一个非常简单的“引入之前和引入之后”示例,可帮助 

阐明此逻辑关系。(虚线表示检测信号链路。): 

图 7-1 确定最佳 Sensor 位置 ‑ 引入之前 

图 7-2 确定最佳 Sensor 位置 ‑ 引入之后 


关键是确保冗余的 Sensor 扫描网络中同一位置处的同一流量。如果要将一个 Sensor 置于一个路径的防火墙之外,而将 

另一个 Sensor 置于另一路径的防火墙之内,则会产生开发人员常说的“未定义”的情况。也就是说,很难预料此设置可能 

会引起何种误报和漏报。 

单路径上的冗余 Sensor 


确定最佳 Sensor 位置 7 

在较复杂的环境中实现 Sensor 故障转移通常十分简单,因为 Network Security Platform 经过了专门的设计,可以无缝 

地应用到现有冗余路径的网络。但是,在向单路径的网络引入 Sensor 故障转移对之前,通常还需考虑以下几点: 

在不具任何冗余或具有极少冗余的网络上,Sensor 对可以平行运行。例如,您可以在一对交换机之间插入一对 Sensor, 

并使用 STP 来控制故障转移过程。但依赖 STP 的缺点是,此方法从根本上使第 2 层基础架构变得复杂,且 STP 集中 

通常会需要 12 到 50 秒,因此,这并非理想的做法。 


7 



因此,对于单路径,请考虑采用下图中的配置: 

图 7-3 堆栈配置 

在这种情况下,Sensor 将按照与菊花链交换机对相同的方式进行“堆栈”(一个接一个)。 

Sensor 监控端口之间的连接需要使用交叉电缆。 

这些 Sensor 被配置为以串联失效打开模式运行,并用作故障转移对。 


与单路径网络的其他配置相比,此冗余配置的优点如下: 

• 不存在对 Sensor 冗余的第 2 层或第 3 层拓扑的依赖性。 

• 如果其中一个 Sensor 出现故障,它会失效打开,另一个 Sensor 继续进行扫描,且不会中断。 

• 由于这些 Sensor 被配置为故障转移对,因而状态会得以保持。 

唯一的缺点是会对 UDP 攻击和 ICMP 攻击生成重复警报。 

防止出现重复警报 

为了防止故障转移对两次转发同一警报,该对中的每个节点应遵循以下规则: 

• 在其监控端口上接收到攻击数据包的 Sensor 向 Manager 发送特征码警报。(从其故障转移对获得攻击数据包副本 

的 Sensor 不发送警报。) 

• 转发警报的 Sensor 还采取配置的响应操作(如发送 TCP 重置)。 

• 在线时间最长的 Sensor 负责向 Manager 发送所有侦测和 DoS 警报。 

• 如果两个 Sensor 的在线时间完全相同,则序列号值较高的 Sensor 负责发送所有侦测和 DoS 警报。 

实际检查结果是,由于上述“堆栈”配置会导致攻击到达两个 Sensor 的监控端口(除非启用了阻止),此配置将导致生成一 

些重复警报。详细信息如下: 

• 侦测和 DoS 攻击不会发生问题,因为故障转移对中始终有一个 Sensor 专门发送这些警报。 

• TCP 特征码攻击也不会发生问题,这得益于扫描引擎具有状态的本质。也就是说,虽然两个 Sensor 都会在其监控 

端口上获得攻击数据包,但实际上第二个 Sensor 会先在其故障转移端口上获得该数据包。当它随后在其监控端口上 

第二次获得该数据包时,会识别出该数据包并将其作为重复数据包处理。重复数据包将被继续转发,但不会生成任 

何警报。 

• 但由于 UDP 和 ICMP 是无状态的,因此这些数据包不适用该逻辑。在此配置中,UDP 和 ICMP 攻击会创建重复警 

报。 

摘要 

如果当前网络故障转移拓扑已按照符合逻辑的方式配置,毫无疑问,您会在研究现有基础架构时看到一个模式。在这种 

情况下,请遵循该模式来添加 Sensor。如果当前拓扑不遵循逻辑模式,请首先解决此问题,然后再考虑添加 Network 

Security Platform 故障转移,避免将网络设计的缺陷归因于 Network Security Platform。 



配置各 Sensor 的端口 7 

作为故障转移对的两个 McAfee ® Sensor 必须为同一型号且必须具有相同的 Sensor 映像(Sensor 软件版本)。 

以前,您只能在主 Sensor 的所有监控端口都处于串联模式时才可以创建 Sensor 故障转移对。现在,即使监控端口处于 

不同的工作模式(即一些端口为串联模式、一些为 SPAN 模式,一些为 Tap 模式),您也可以创建 Sensor 故障转移对。 

例如,您可以通过以串联模式部署的监控端口 1A‑1B、2A‑2B、3A‑3B 和 4A‑4B,以及以 SPAN 模式部署的端口 5A 来 

创建 I‑4010 故障转移对。 

在某些型号的 Sensor 中,某个监控端口配置为主次检测信号。在这种情况下,会禁用其对等监控端口。例如,在 

I‑2700 中,监控端口 4A 用于检测信号,当您创建故障转移对时,将禁用端口 4B。 


7 



请注意,主次 Sensor 的端口部署模式必须相同。例如,如果主 Sensor 中的端口 5A 是以 SPAN 模式部署的,则次 

Sensor 的 5A 必须也是以 SPAN 模式部署的。 

图 7-4 Sensor ‑ 故障转移对选项卡 

按照设计,Sensor 之间始终存在一定程度的独立性。例如,解决方案必须足够灵活,才能处理主路径以 100 Mbps 全双 

工运行,而次路径仅以 10 Mbps 半双工运行的网络。 

此时即可将每个端口对配置为失效打开或失效关闭。在以前的 Network Security Platform 版本中,您只可将故障转移对 

中的每个 Sensor 配置为失效关闭。现在,您可以将一个 Sensor 配置为失效关闭,将另一个配置为失效打开。 

要将一个 Sensor 配置为失效关闭而将另一个配置为失效打开,没有特殊的最低 Sensor 软件版本要求。 

您可以在用户界面的“Configure Ports(配置端口)”页配置端口速度和工作模式: 

图 7-5 配置监控端口 1A 

如果选择在太网网端口对(而不是 GBIC)上失效关闭,则用户界面会提示您将端口与 Network Security Platform 连接器 

进行电缆连接。 

潜在陷阱 

Network Security Platform 连接器随 Sensor 一同提供。 

当配置故障转移对时,您必须指定一个“主”Sensor 和一个“次”Sensor。按照设计,主 Sensor 的配置被复制到次 

Sensor,从而覆盖次 Sensor 的原始配置。 

如果要将两个 Sensor 都配置为失效关闭或失效打开,请在故障转移对创建过程中对要指定为主 Sensor 的 Sensor 上的 

端口进行配置。 

但如果要将一个 Sensor 配置为失效关闭,而将另一个配置为失效打开,则必须在创建故障转移对之后重新访问其中一 

个或这两个 Sensor 的“Port Configuration(端口配置)”页,并进行适当的更改。 



对于 GE 端口的失效打开功能的说明 

与高速以太网端口不同的是,GE 端口无法自行失效打开。对于每个要配置为失效打开的端口对,都必须购买一个光纤 

旁路套件。 

如果 Sensor 重新启动、挂起或无法在通电后启动,则光纤旁路套件会接管并确保该链路保持活动状态。当配置为故障 

转移对时,此逻辑仍适用(Sensor 端口实际失效的情况除外)。在这种情况下,旁路套件不会更改为旁路模式。此时, 

端口对失效关闭且由冗余链路接管。 

目前,本文档恕不提供有关光纤旁路套件的详细信息。请参阅光纤失效打开套件随附的“McAfee Network Security 

Platform 千兆位光纤失效打开旁路套件手册”。 

关于主动 - 被动故障转移的警告 

将一个 Sensor 设置为失效关闭,而另一个 Sensor 设置为失效打开选项适用于主动 ‑ 被动配置。了解将使用的冗余路径 

顺序之后,您可以将主路径上的 Sensor 安全配置为失效关闭,并将次路径上的 Sensor 配置为失效打开。结果如下: 

• 如果主路径上的 Sensor 出现故障,它会强制次路径进行接管,以确保该链路保持受保护状态。 

• 如果次路径变为活动状态且该次路径上的 Sensor 也出现故障(通常不会发生),则流量不再被扫描,但会继续通过。 

如果无法对次路径上的流量进行入侵扫描,您可能更希望断开 Internet 连接。在这种情况下,您需要将两个 Sensor 都 

配置为失效关闭。 

在两个路径都为活动状态的网络中,无法预测路径出现故障的顺序。在此环境中,将 Sensor 配置为失效打开最多会使 

Network Security Platform 冗余的目的无效。而且,如果路径上存在非对称流,则余下的 Sensor 不会看到来自这些流 

的数据包,因而容易出现误报和漏报的情况。 

10/100 Sensor 端口需要使用连接器才能以 SPAN 模式或串联失效关闭模式运行,而所有 10/100 端口的 Sensor 中都包 

含连接器。 

Sensor 上的所有 10/100 端口都是标准的 10/100 Base‑T 以太网端口。同样,它们仅使用 5/6 类双绞线 8 根线缆中的 

4 根: 

引脚功能 

1 Tx 

2 Tx 

3 Rx 

4 

5 

6 Rx 

7 

8 

引脚 1 和引脚 2 用于传输 (Tx) 信号,引脚 3 和引脚 6 用于接收 (Rx) 信号,不使用引脚 4、5、7 和 8。 

当端口对以串联失效打开模式工作时,信号会“交叉”,以确保流量的正常流动: 

图 7-6 串联失效打开模式 ‑ 信号交叉 

此时,在一个端口的 Rx 引脚上接收的流量在另一个端口的 Tx 引脚上发送。 

此交叉正是由交叉电缆执行。 


连接器的工作原理 7 


7 



实际上,每个端口对之间均存在一组机械中继器: 

图 7-7 机械中继器 

图 7-8 机械中继器 

当 Sensor 关闭时,中继器开始起作用。具体来说,中继器提供了一个路径,当 Sensor 断电时,引脚 1、2、3 和 6 上 

的信号可继续通过此路径。简言之,中继器可确保 Sensor 失效打开。 

请务必注意,中继器仅为引脚 1、2、3 和 6 上的信号提供路径。引脚 4、5、7 和 8 上的信号会被过滤掉。 

当 Sensor 以串联失效关闭模式运行时,Sensor 会使用引脚 4 和引脚 5,而不使用引脚 1 和引脚 2 来传输信号: 

图 7-9 引脚 4 和引脚 5 上的 Tx 信号 


当 Sensor 断电时,中继器再次起作用: 

图 7-10 机械中继器 ‑ 失效关闭 

但是由于中继器仅传送引脚 1、2、3 和 6 上的信号,引脚 4 和引脚 5 上的传输信号会被过滤掉,端口会失效关闭。 

那么连接器有何作用呢?将配置为失效关闭操作的 Sensor 端口引脚与标准的以太网电缆引脚进行比较时,答案变得十 

分明显: 

图 7-11 引脚比较 

如上图所示,失效关闭模式中的 Sensor 使用引脚 4 和引脚 5 来传输信号,但标准的 10/100 以太网连接使用引脚 1 和 

引脚 2 来传输信号(不使用引脚 4 和引脚 5)。由于不存在调换信号的机制,流量因而中止。 

Sensor 的工作模式对接收 (Rx) 信号没有影响,为简便起见,此处未显示这些信号。 


连接器的工作原理 7 


7 




连接器的唯一目的是将传输信号从引脚 4 和引脚 5(后端)调换至引脚 1 和引脚 2,以便 Sensor 在通电时可以与标准的 

以太网设备进行通信: 

图 7-12 连接器调换信号 

连接器的内部工作情况如下图所示。 

图 7-13 连接器的内部工作情况 

传输信号通过引脚 4 和引脚 5 从 Sensor 的失效关闭端口流向连接器的正极。但从连接器的负极流向标准 10/100 

Base‑T 电缆时,这些信号则会使用引脚 1 和引脚 2(以太网标准)。 

在防止 Sensor 端口环路以 SPAN 模式运行时,也会使用此方法。假设端口 2A 和端口 2B 都以 SPAN 模式运行。当 

Sensor 通电时,由于每个端口都配置为 SPAN 模式,Sensor 软件会阻止在端口对之间传送流量。但当 Sensor 断电时, 

按照设计,中继器会允许传输信号通过引脚 1 和引脚 2。此情况只会混淆远程设备,甚至引起桥接环路,为了避免出现 

此情况,配置为 SPAN 模式的 Sensor 端口还会在引脚 4 和引脚 5 上进行传输,因而需要使用连接器。 

此时安装 Sensor 似乎还为时尚早。毕竟,您肯定会在配置故障转移对之后立即执行测试。此处的逻辑是为了在使用尽 

可能少变量的情况下确认连接和正常扫描。如果目前基本连接和扫描结果正常,但是在配置故障转移对之后失败,您至 

少知道是故障转移对问题。 

理想情况下,您应该对每个 Sensor 单独进行测试。其中包括(如果需要)手动故障转移主路径,以便流量流经次路径。 


您可以使用“Ping”和“Traceroute”(在 Windows 上为“tracert.exe”)等常见实用工具对基本连接进行测试。您还可以查看 

Threat Analyzer 对每个 Sensor 端口的统计数据,以确认流量是否正确流经该端口。 

图 7-14 性能统计数据:数据视图 

有关如何验证流量是否流经 Sensor 的分步说明,请参阅“McAfee Network Security Platform Manager 管理手册”。 

触发 FTP 目录遍历特征码是一种简单无害的方法,可用来确认 Network Security Platform 是否正在扫描利用漏洞攻击。 

“攻击”如下所示: 

图 7-15 FTP 遍历攻击 

突出显示的部分是实际触发该特征码的命令。 


实际安装 Sensor 7 


7 



相应的攻击与图中的警报类似 

图 7-16 显示特定攻击的详细信息 

如果您对 HTTP 测试有兴趣,可以尝试从常用浏览器访问下面的 URL: 

http://serveraddress/inetpub/scripts/root.exe 

http://serveraddress/inetpub/scripts/cmd.exe 

这些利用漏洞攻击特定于 IIS。 

这些 URL 与 Code Red 和 Nimda 利用漏洞攻击类似,因此,它们也可能在 Web 服务器上触发防病毒软件。 

这些工具仅用于 Network Security Platform 测试目的。McAfee 决不容许将攻击流量用于测试产品连接和通信以外的任何 

目的。 

实际检查 - 非对称路由 

如果网络具有两个非对称路由的主动路径,这些初步入侵测试可能不会成功,您甚至可能发现误报。 

在这种情况下,您可以临时向手头的接口分配“All Inclusive with Audit(综合策略,包含审核)”策略,以确认扫描过程, 

或暂时跳过测试,并希望接下来的步骤一切顺利。 


获知 Sensor 在独立工作之后,即可准备定义故障转移对。通过故障转移对配置,我们可以确保 Sensor 在正常情况下共 

享流信息并根据需要进行故障转移。 


在故障转移对创建一图中,我们指定了相关的 Sensor 型号 (I‑4010)、将故障转移对命名为 FO‑Pair‑4010,并选择了两 

个要使用的 Sensor: 

图 7-17 创建故障转移对 

需要再次声明的一个重要注意事项是,在故障转移对的创建过程中,“主”Sensor 的当前配置会复制到“次”Sensor 的当前 

配置中。 

故障转移对的创建会实时进行。无需显式更新该配置。 

但是,在涉及扫描角色时,您可以放心地忽略此处的“主 Sensor”一词和“次 Sensor”一词。请记住,两个 Sensor 会始终 

主动进行扫描。 

完成扫描以后,用户界面的显示会发生更改,以反映新故障转移对的存在: 

图 7-18 更新配置 


定义 Network Security Platform 故障转移对 7 

现在,故障转移对管理一图的资源树(左窗格)中出现了一个新的故障转移对节点。该节点包含参与故障转移过程的每个 

接口的图标。故障转移对节点中还有一个由其成员 Sensor 组成的列表。 


7 




大多数配置选项随后将在故障转移对节点级别完成。例如,您现在可以在故障转移节点级别应用策略或更新配置,它会 

自动传播到每个成员 Sensor。另一方面,您仍然可以在 Sensor 节点级别配置端口设置、查看接口统计数据并升级 

Sensor 软件。因此,体验故障转移对配置过程的最简单方法是:在创建故障转移对后立即检查用户界面。 

Sensor 运行的软件版本必须与要在故障转移配置中运行的软件版本相同。但是,即使这些 Sensor 是故障转移对的一部 

分,也应在 Sensor 级别升级软件。因此,建议您采取以下升级步骤:升级两个 Sensor 上的软件,然后按顺序重新启动 

Sensor。也就是说,在两个 Sensor 上完成升级过程之后,立即重新启动第一个 Sensor,确保其在不出现错误的情况下 

重新启动,然后重新启动第二个 Sensor。 

在 Sensor 级别的“View Details(查看详细信息)”页中,您可以很方便地看到有关所有 Sensor 端口状态的详细信息: 

图 7-19 Sensor 状态和工作状态详细信息 

有关详细信息,您可以在给定接口的“View Details(查看详细信息)”页中深入了解该接口的当前故障转移状态: 

图 7-20 CIDR 接口详细信息示例 

在上图中可以发现,该接口的逻辑工作状态为“UP(开启)”,但次 Sensor 的工作状态为“DOWN(关闭)”。这意味着故 

障转移对正在按计划工作,但物理 Sensor 存在问题。(实际上,该次 Sensor 3A/3B 端口对的电线已拔出。) 

没有适用于所有 McAfee ® Network Security Sensor (Sensor) 型号的标准检测信号端口。用于连接两个故障转移 

Sensor 的端口直接取决于手头的 Sensor 的型号。详细信息如下: 


Sensor 型号用于检测信号连接的端口 

I‑4010 6A 和 6B(HA1 和 HA2) 

I‑4000 2A 和 2B 

I‑3000 6A 和 6B(HA1 和 HA2) 

I‑2700 4A 

I‑1400 R1(响应端口) 

I‑1200 R1(响应端口) 

Sensor 型号用于检测信号连接的端口 

M‑8000 3A 和 3B(HA1 和 HA2) 

M‑6050 4A(HA1 ‑ 注意端口 4B 保留不用) 

M‑4050 2A 

M‑3050 2A 

M‑2750 10A 

M‑1450 4A 

M‑1250 4A 

N‑450 10A 和 10B 

初始提示 

在进行电缆连接时,请注意以下提示: 

• I‑3000、I‑4000、I‑4010 型号需要使用两个端口才能在高吞吐量级别共享流信息。 

• 实际上,只有端口 4A 才用于 I‑2700 型号上的检测信号连接。故障转移模式下,会禁用端口 4B。 

• 在 I‑3000 和 I‑4010 型号上,端口 6A 和 6B 分别被标记为 HA1 和 HA2,以表示其在故障转移过程中的使用情况。 

(HA 是 High Availability 的缩写,表示高可用性。) 

GBIC 电缆连接 

I‑1200 和 I‑1400 以外的所有 Sensor 型号均使用标准的 GBIC、小型可插拔 (SFP) GBIC 或 10GbE 小型可插拔 (XFP) 

GBIC 来进行检测信号连接。 

在尝试使用 GBIC 为故障转移进行电缆连接之前,请完成以下步骤: 

1 为手头的型号确定相应的 GBIC(标准、SFP 或 XFP)。 

2 确定将光纤电缆插入所选 GBIC 所需的接头类型。 

3 确定可支持 Sensor 对距离的正确 GBIC 模块类型和电缆。 

如果您使用的是铜口 GBIC,请使用 6 类增强 (Cat 6e) 直通电缆。 

下表针对前两个步骤。下表在上一个表的基础上添加了“端口类型”和对应的“电缆接头类型”两列: 

I 系列 Sensor 数据: 

Sensor 型号用于检测信号连接的端口端口类型电缆接头类型 

I‑4010 6A 和 6B(HA1 和 HA2) SFP LC 

I‑4000 2A 和 2B GBIC SC 

I‑3000 6A 和 6B(HA1 和 HA2) SFP LC 


检测信号电缆连接 7 


7 




I‑2700 4A GBIC SC 

I‑1400 R1(响应端口) 以太网 RJ45 

I‑1200 R1(响应端口) 以太网 RJ45 

M 系列 Sensor 和 N‑450 Sensor 数据: 


M‑8000 3A 和 3B(HA1 和 HA2) XFP LC 

M‑6050 4A(HA1 ‑ 注意端口 4B 或 HA2 保留不用) XFP LC 

M‑4050 2A XFP LC 

M‑3050 2A XFP LC 

M‑2750 10A SFP LC 

M‑1450 4A 铜口 RJ45 

M‑1250 4A 铜口 RJ45 

N‑450 10A 和 10B SFP LC 

重要说明 

• 监控端口和故障转移端口使用同一个 GBIC。(检测信号连接不需要使用特殊的 GBIC。) 

• 所有 GBIC 和光纤电缆均与 Sensor 分开出售。 

McAfee 仅对 McAfee 价目表中列出的 GBIC 提供正式支持。 

电缆连接指南和示例 

以下是检测信号电缆连接规则的快速摘要: 

• 电缆连接必须始终跨 Sensor 检测信号端口之间的 Tx 和 Rx 通道。正是由于此原因,I‑1200 和 I‑1400 Sensor 才需 

要在其故障转移对之间使用交叉电缆。 

• 当在每个 Sensor 上使用两个端口进行检测信号连接时,必须始终在完全相同的端口名之间进行电缆连接。例如, 

Sensor 1 上的端口 2A 必须始终与 Sensor 2 上的端口 2A(而不是 2B)连接。 

下面几节将介绍一些示例硬件要求和安装提示: 

I-1200 和 I-1400 示例 

彼此相距 100 米(或更短)以内的 I‑1200 或 I‑1400 Sensor 对需要用到以下设备: 

• 一 (1) 条 CAT 5 交叉电缆 

将交叉电缆连接到各响应端口。 

I-2700 示例 

彼此相距 550 米以内的 I‑2700 Sensor 对需要用到以下设备: 

• 两 (2) 个标准 SX GBIC 

• 一 (1) 条带 SC 接头的 SX 光纤电缆 

您需要使用两个 GBIC 和一条电缆,因为 I‑2700 Sensor 仅使用端口 4A 进行 Sensor 到 Sensor 的通信。 


要成功完成光纤连接,关键是确保 Sensor 之间的电缆是交叉的。光纤电缆通常在配置时会进行预设交叉,连接示例图 

如下所示: 

图 7-21 布线 

I-4000 示例 

彼此相距 10 公里以内的 I‑4000 Sensor 对需要用到以下设备: 

• 四 (4) 个标准 LX/LH GBIC 

• 两 (2) 条带 SC 接头的 LX/LH 光纤电缆 

此处的电缆连接逻辑类似于 I‑2700 型号使用的逻辑。主要区别在于 I‑4000 使用端口 2A 和 2B 进行检测信号连接。因 

此,请使用上述同一方法,但需要执行两次。具体来说,将电缆从第一个 Sensor 上的端口 2A 连接到第二个 Sensor 上 

的端口 2A,然后在第一个 Sensor 上的端口 2B 与第二个 Sensor 上的端口 2B 之间重复此步骤。 

I-3000 和 I-4010 示例 

彼此相距 100 公里以内的 I‑3000 或 I‑4000 Sensor 对需要用到以下设备: 

• 四 (4) 个 SFP ZX GBIC 

• 两 (2) 条带 LC 接头的 ZX 光纤电缆 

此电缆连接方法与 I‑4000 的电缆连接方法相同,只是 I‑3000 和 I‑4010 使用端口 6A 和 6B(HA1 和 HA2)进行检测信号 

连接。 

TX GBIC 

实践证明,Network Security Platform 能与 ZX GBIC 一起正常工作。但是,McAfee 不销售或主动测试 ZX GBIC。 

McAfee 还同时为标准 GBIC 和 SFP GBIC 提供了 TX 模块类型。TX 模块类型用于连接双绞线(铜口)。对于 TX 模块, 

所需的电缆接头类型实际上是 RJ45,最大距离为标准双绞线的距离(100 米)。 

如果需要,TX 模块可用于提供故障转移连接。但一般不进行此连接,因为相比较而言,SX 模块的价格更划算,且最大 

距离更长。 

TX 模块只能在 1000 Mbps 的速度下使用:目前不提供以 10/100 Mbps 速度运行 TX 模块的选项。 

通过网络设备进行故障转移电缆连接 

不要通过外部网络设备对检测信号连接进行电缆连接。 

为了保持较低的系统开销和较高的吞吐量,Sensor 在通过检测信号连接传递的数据包上不包括第 2 层或第 3 层报头, 

它们传递大于标准以太网最大帧大小(1518 字节)的数据。 

如果您尝试在检测信号端口之间放置网络设备(例如交换机或路由器),则检测信号连接将失败。 




7 




最后的步骤如下: 

• 确认 Sensor 正通过检测信号连接进行通信。 

• 测试故障转移设置。 

确认 Sensor 通信 

在配置了故障转移对之后,“System Health Status(系统健康状况)”页上会显示故障转移对状态错误,直到进行检测信 

号电缆连接: 

图 7-22 某类故障:Manager 的警告消息 

您可以在基于 Web 的用户界面的“Sensors/View Details(Sensor/查看详细信息)”页或直接从任一 Sensor 的 CLI 监控 

Sensor 间通信的状态。 

因此,上面的屏幕快照中表示的 Sensor 可能进行了正确的电缆连接,但仅需要重新启动。 

在 CLI 中,您可以在任一 Sensor 中运行该命令。输出包括故障转移的"Enabled (已启用)”和“Peer Status(对等状态)” 

字段。前一个字段指示是否已将手头的 Sensor 配置为故障转移对中的一部分,后一个字段显示两个 Sensor 之间通信的 

当前状态: 

图 7-23 “Sensor CLI show failover‑status(Sensor CLI 显示故障转移状态)”窗口 

在Sensor CLI show failover‑status(Sensor CLI 显示故障转移状态)窗口中,Sensor 是故障转移对的一部分,故障转 

移对正在成功地通过检测信号连接进行通信。 

测试故障转移设置 

在确认 Sensor 之间的通信之后,应立即测试故障转移配置。 

检验配置的最佳方法因设置的不同而不同,但这些测试应与在网络上实际安装 Sensor 之后进行的测试类似。 


此时的主要区别包括: 

• 具体来说,当手头的网络具有两个非对称路由的主动路径时,以前失败的入侵测试现在应该是成功的,因为两个 

Sensor 都在分析来自所有流的所有数据包。 

• 当 Sensor 离线时,现有的会话状态应该不会丢失。 

确认会话在“失败”后仍然存在的最准确的方法是捕获和分析数据包。有一个更基础的测试,即在 Sensor 处于离线状态时 

打开浏览器并开始大流量下载。如果成功保留了该状态,则在下载过程中不会出现严重中断。 

如果状态丢失,请确保 Sensor 彼此间确实在进行通信。 

如果 Sensor 没有进行通信,请按顺序尝试以下步骤: 

任务 

1 冷启动这两个 Sensor。 

2 重新对这两个 Sensor 进行电缆连接。 

3 重新创建故障转移对。 

4 如果使用的是 GBIC,请确保是 McAfee 提供的 GBIC。 

已知使用非 McAfee GBIC 会引发问题。如果使用的 GBIC 不在 McAfee 价目表中,请临时更换为 McAfee 价目表中 

列出的 GBIC,以免因对其进行故障排除而浪费更多时间。 

如果 Sensor 之间正在进行通信: 

• 同时捕获两个冗余路径上的数据包。此操作可提供有关数据流的全面信息,从而帮助您深入了解该问题。 


在以下用例方案中,“主动/被动”一词是指网络拓扑,而不是 Sensor 高可用性 (HA) 配置。在 Sensor HA 中,两个 

Sensor 都处于“主动/主动”状态,表示两个 Sensor 都会对其各自监控端口上接收到的流量进行处理。 

配置为负载平衡的 I-4010 Sensor 

场景: 

两个 I‑4010 Sensor 进行了负载平衡配置。每个 Sensor 都监控一个主动 1GB 全双工链路(双向 500 Mbps),因此,每 

个 Sensor 都处理 1 Gbps 的流量。即,每个 Sensor 都使用 2 Gbps 总吞吐量。 

Sensor 需要处理的总吞吐量是否更多,即,故障转移对是否会在合并后扫描 4 Gbps 的流量? 

解决方案: 

当在高可用性模式中使用时,Sensor 对的合计吞吐量保持与独立模式相同的水平,即 Sensor 对的总吞吐能力

7 



主动/主动 HA 模式的 I-4010 Sensor 

场景: 

假设有两个 I‑4010 Sensor 处于主动/主动 HA 模式,双向流量为 500 Mbps(全双工),那么此 Sensor 对如何工作? 

解决方案: 

无论是独立 4010 Sensor 还是 HA 对中的 4010 Sensor ,在任何时候最多能够以 2 Gbps 扫描。 

在上述情况中,该 Sensor 对的合计吞吐量为 2 Gbps(每个 Sensor 处理的量)。 

只要 Sensor 监控端口的流量在两个主动链路上的总体速率保持在 2 Gbps 或以下,部署即可正常运行。 

主动/被动 HA 模式的 I-4010 Sensor 

场景: 

假设有两个 I‑4010 Sensor 处于主动/被动 HA 模式,全双工吞吐量为 1 Gbps(双向流量为 500 Mbps),那么此 Sensor 

对如何工作? 

解决方案: 

在上述情况中,该 Sensor 对的合计吞吐量为 2 Gbps(主动 Sensor 上为 2 Gbps,被动 Sensor 上为 0 Gbps)。 

在此情况中,主动链路上的 Sensor 在其监控端口上接收到 1 Gbps 的流量,在其 HA 端口上未接收到任何流量,因为另 

一个 Sensor 在被动链路中。主动链路上的 Sensor 向其对等 Sensor 发送 1 Gbps 流量的副本,并顺利地对同一流量进 

行处理,因为 1 Gbps 仅占单个 Sensor 吞吐量的 50%。 

500 Mbps 的单向流量(即 1 Gbps 的总流量)正好在 I‑4010 Sensor 能够处理的范围之内。即使 1 Gbps 链路完全满载, 

全双工的总流量也会有 2 Gbps,这样 Sensor 仍然可以处理。 


8 了解虚拟化 

8 

您应该已经熟悉术语虚拟 IDS (VIDS)、虚拟 IPS (VIPS) 和子接口。 

这些术语指的是同一个概念,通常称为虚拟化。虚拟化的目标是提供精细扫描。虚拟化功能可使管理员通过单个 

Sensor 端口或端口对将不同的策略应用到不用的通信流组中。 

“VIDS”和“VIPS”等词强化了“虚拟化”这一概念,您可以利用虚拟化定制单个 Sensor 解决方案,就像该解决方案是多 

Sensor 解决方案一样。不过,McAfee ® Network Security Platform 用户界面使用“子接口”一词,因为这个词更能清楚地 

描述实现虚拟化的过程。因此,我们将在本手册中使用“子接口”一词。 

要介绍虚拟化的实现和优点,最容易的方法是着手实现一个非虚拟 Sensor 并使用多个子接口。 

以 I‑2700 型号 McAfee ® Network Security Sensor (Sensor) 为例:它有八个物理监控端口,其中有六个是 10/100 高速 

以太网端口,两个是千兆位以太网端口。 

所有八个端口都继承并使用应用于 Sensor 的策略。您可以像很多人员所做的那样,将唯一策略应用到每个端口。在开 

始讨论之前,记住层次结构的概念是非常重要的,因为您很快就会看到,子接口也会利用具有层次结构的 Network 

Security Platform 管理设计的优势。 

目录 

无虚拟化的网络方案 

无虚拟化的网络方案 

端口与接口 

有虚拟化的网络方案 

接口类型 

如何应用策略 

VLAN、桥接 VLAN 和 CIDR 接口的常见用法 

接口、VLAN 和 CIDR 限制 

假设在一个网络中散布有 Windows 主机和 Linux 主机。在此对该网络所采用的最佳方法是,在 Windows 主机和 Linux 

主机的流量流经的所有端口上,应用包含针对这些主机的攻击的策略。 

如果该网络恰好是以下面的方式进行管理的:来自所有 Windows 主机的流量流经一个网段,而来自所有 Linux 主机的 

流量流经另一个网段,则可以将这两个不同的网段连接到不同的 Sensor 监控端口。然后分别对相应的端口应用特定于 

Windows 的策略和特定于 Linux 的策略。通过执行此操作,可以降低误报的几率并减少每个端口上需扫描的工作量。 

鉴于许多 IDS 和 IPS 服务仅允许每个 Sensor 一个策略,因此,对每个端口应用一个唯一策略的做法显得更吸引人。但 

如果 Sensor 没有足够的物理端口,而无法实现以不同方式控制给定网络上的流量,情况如何呢?或者更实际地讲,如 

果 Sensor 被置于网络上的一个汇集位置(如中继上行链路),或管理员希望将唯一的策略应用于一台或两台主机,又会 

如何呢?这时虚拟化就显示出价值。 


8 


有虚拟化的网络方案 

接口类型 

了解虚拟化 


网络专业人员经常互换使用端口和接口这两个词,我们以前也一直故意这么做。但在 Network Security Platform 环境 

中,一定要区分这两个词,端口实际上表示物理组件,而接口则是对一个或多个端口的逻辑抽象。 

有一个简单的示例可以阐明端口与接口的不同之处,此示例是有关“端口对”的。如果您将 Sensor 配置为以串联模式运 

行,便可以将这两个物理端口组合成一个逻辑接口并对其进行管理。 

子接口是对接口的进一步抽象。它允许管理员将不同的扫描策略应用于流经同一接口的不同类型的流量。 

假设所有内部主机都有一个出入 Internet 的上行链路,则此上行链路会通过以串联模式运行的 Sensor 来发送流量。也 

就是说,Sensor 确实处于此网络的某个汇集位置。 

如果 Windows 主机和 Linux 主机分布在网络各处,则创建子接口将没有太大价值。此时的最佳方法是再次使用针对两 

种流量类型的单一策略。 

但如果这些主机被赋予不同范围的 IP 地址或位于不同的 VLAN 上,您可以为每个地址块或 VLAN 创建一个子接口,并 

在单个接口上获得您之前在各组流量遍历唯一端口时进行此操作所获得的同一效果。 

此外,如果需要对特定主机应用唯一策略,则可以通过创建代表该主机的子接口来做到这一点。例如,如果 DMZ 中的 

服务器除一台 Solaris 服务器外,其余都是 Windows 服务器,合理的做法是将特定于 Windows 的策略应用于接口,将 

特定于 Solaris 的策略应用于代表该主机的子接口。 

还需要注意的是每个接口和子接口维护唯一的拒绝服务 (DoS) 配置文件。因此,如果有一个主机采用的流量模式与共享 

此接口的其余主机截然不同,则考虑为这个主机创建子接口。例如,电子商务 Web 服务器与内部文件和打印服务器; 

毫无疑问,Web 服务器的流量模式不同于文件和打印服务器的流量模式。如果不与文件和打印服务器分开,这一台 

Web 服务器很可能使整个接口的计算不对称,从而在 DoS 分析过程中产生误报,甚至是漏报。通过隔离这一台主机, 

可以使 Sensor 对出入文件和打印服务器的流量和 Web 服务器的流量进行独立分析,从而提高了分析的准确率。 

这可能看上去与在接口级别创建唯一 DoS ID 的做法类似,确实如此。不同之处在于,接口级别的 DoS ID 仅限于单层 

CIDR 地址,而子接口级别的 DoS ID 允许您通过 VLAN ID 创建 DoS 配置文件,并具有两层 CIDR 地址。例如,您可以 

在接口级别为整个 CIDR 范围创建一个 DoS 配置文件,然后在子接口级别为同一网络上的单个主机创建一个唯一的 

DoS 配置文件。 

有效的接口类型包括: 

• “专用” 

• “VLAN” 

• “桥接 VLAN” 

• “CIDR” 


专用接口 

在“Manage Interface ‑ Changing Traffic Type(管理接口 ‑ 更改流量类型)”下方图片中的接口具有默认的“Dedicated(专 

用)”接口。 

图 8-1 管理接口 ‑ 更改流量类型 

当默认接口支持子接口时,会有效地禁用对虚拟化的支持。 

VLAN 接口 

选择 VLAN 接口类型会指示 Sensor 根据 VLAN 标记来应用策略。 

背景 

假设您有两台主机位于同一 VLAN 上且连接到两台不同的交换机,但您希望它们能像直接连接到同一台交换机上那样进 

行通信(包括共享第 2 层多播和广播)。达成此目标的方法是在两台交换机之间设置一个 trunk。 

当您在两台交换机上启用中继时,它们会传递各帧中用于识别该帧所属 VLAN 的额外信息。 

当某个帧穿过一个 trunk 时,接收交换机会检查 VLAN ID 并将该帧复制到同一 VLAN 中的本地端口,就像该帧来源于本 

地一样。 

符合中继行业标准 IEEE 802.1Q 规范的交换机的每个帧中会多包含 32 位,其中的 12 位用于指示该帧的 VLAN ID。因 

此,有效的 VLAN ID 值在 0 到 4095 之间 (2^12)。 

实际支持的 VLAN ID 值将根据交换机实现的不同而有所不同。例如,VLAN 0 通常是不使用的,VLAN 1 是在 Cisco 交 

换机上进行管理所用的默认 VLAN,许多交换机不会完全支持 VLAN ID 4095,除非您使用增强版的软件。Network 

Security Platform 可接受 1 至 4095 之间的值。 

Network Security Platform 最初会接受 GUI 中的 0 这一值,但随后就会丢弃它。例如,如果您输入 0 ‑ 2 之间的值,则 

Network Security Platform 会接受此值,但其配置中仅包含 VLAN ID 1 和 2。 

如果您发送的中继流量跨越的设备不支持中继,则该设备通常会丢弃标记为差(过大)的帧,通信会失败。 

Network Security Platform 支持(传递和扫描)符合 802.1Q 标准的帧。但它并不支持 Cisco 专用的旧版交换机间链路 

(ISL) 协议。通过 Sensor 发送的 ISL 流量将被转发而不会被丢弃。 

定义 VLAN 接口 


接口类型 8 

一旦将某个接口配置为 VLAN 类型,下一步就要编辑它,并将它与 VLAN ID 关联。您需要在此时对预计其流量将遍历 

此接口的所有 VLAN 进行定义。 

预期效果是,您会看到来自多个 VLAN 的流量。(如果未看到,则更简单的方法是将接口保留为“Dedicated(专用)”类 

型,并应用单一策略,或考虑使用 CIDR 子接口。) 


8 


接口类型 

您可以按“Range from(范围)”或 ID 来指定 VLAN 值。在“编辑 VLAN 接口”一图的示例中,我们将“VLAN by Range from 

(VLAN 范围)”指定为:150 到 160。 

图 8-2 编辑 VLAN ID 


资源树中接口名称的变更是前一步骤结果的一个示例: 

图 8-3 资源树中接口名称的变更 

可能产生混淆的一点是,添加和删除 VLAN ID 的方法有所不同。 

定义 VLAN 子接口 

下一步是将这样的一个或多个 VLAN 分配给子接口,以进一步调整扫描过程。 




8 


接口类型 

在“添加子接口”一图中,我们添加了一个名为 WindowsServers 的子接口,并为其分配“Default Inline IPS(默认串联)” 

策略以及 VLAN 2 和 5。 

图 8-4 添加子接口 

强烈建议您给子接口取一个可指示其内容的名称。该名称可以像 VLANS_1_2 一样明显。不过,更常见的是按照用户 

Community 或其保护的主机来命名子接口(例如 Accounting_VLANs),或者对于此例,取名为 Windows_Servers。 

当我们现在回顾接口的详细信息时,一些信息发生了更改: 

图 8-5 接口详细信息 

现在,“接口详细信息”一图包含一个代表新子接口的图标。 

VLAN 1 和 10 显示在“Details(详细信息)”窗口中,以便与新的子接口(及其策略)关联。 

最终配置的详细信息如下所示: 

• VLAN 标记为 ID 1 或 5 的流量将应用“Default Inline IPS(默认串联 IPS)”策略。 

• VLAN 标记为 ID 2 的流量将应用“Default IDS(默认 IDS)”策略。 

当然,我们还会为 Linux 服务器创建另一个子接口,并将 VLAN 7‑9 分配给它(举例而言)。此时,VLAN 7‑9 接口上定 

义的所有 VLAN 都会被分配给子接口。 

如果我们希望再将另一个 VLAN 分配给子接口,则我们首先必须取消分配一个来自现有子接口的现有 VLAN ID,或将另 

一个 VLAN ID 分配给 2A‑2B 接口。 

桥接 VLAN 接口 

桥接 VLAN 接口类似于 VLAN 接口(除了后流量检测),Sensor 将流量的 VLAN 标记更改为您所指定的标记。 

因此,Sensor 可桥接这两个 VLAN 之间的流量。该功能可有效地利用 Sensor 的 IPS 能力。 

这仅适用于串联部署的 M‑8000、M‑6050、M‑4050 和 M‑3050 Sensor。 


背景 

请考虑一个典型网络,其中有许多访问交换机连接到一些分配交换机,下图列出了改网络的一部分。要监控 VLAN 间流 

量,可以将一个 Sensor 串联方式置于访问交换机和分配交换机之间的每一个 trunk 链路。但是,这意味着要部署大量 

的 Sensor 端口对(用于访问交换机和分配交换机之间的每一个 trunk 链路),从而可能需要大量的 Sensor。 

图 8-6 没有 VLAN 桥接的简单方案 




8 


接口类型 

一个具有成本效益的备用解决方案是监控分配交换机处的总流量,如下图所示。 

图 8-7 有 VLAN 桥接的简单方案 

通过该方法,只要由 Sensor 监控的分布交换机处的总流量不超过 Sensor 的吞吐量,就可以用较少数量的 Sensor 监控 

同等量的流量。该解决方案有以下要求:访问交换机和分配交换机上的 VLAN 必须做如此配置:所有受制于 IPS 的流量 

都要在被交换或路由之前转发到 Sensor。然后,Sensor 使用 VLAN 桥接功能检查并桥接流量。实际上,来自访问交换 

机的流量只在 Sensor 桥接 VLAN 之后进行交换或路由。 

此外,如果您有多个 Sensor(或 Sensor 接口)连接到分配交换机,则可以在交换机上配置以太网通道负载平衡,这样 

流量会分别流经多个 Sensor 或 Sensor 接口,从而优化利用您的 IPS 基础架构。本节不包含有关如何对交换机进行 

ECLB 配置的信息。请参阅您的交换机所提供的文档。 


简单的 VLAN 桥接方案 

考虑该情况,以了解 VLAN 桥接的优势: 

图 8-8 VLAN 桥接方案 

1 VLAN 100 中的主机 10.1.1.10 尝试与 VLAN 200 中的主机 10.1.2.10 通信。 

2 访问交换机 01 用 VLAN 100 对数据包进行标记,并将其转发给分配交换机。分配交换机是一个 L3 交换机,它具有 

到 Sensor 的 trunk 链路。 

3 在分配交换机中,只有连接到 Sensor 1A 和访问交换机 01 的端口才会配置为 VLAN 100。没有其他端口配置为 

100。这对实现 IPS 是非常关键的配置。当分配交换机接收到 VLAN 100 流量,唯一可用的网络路径是到 Sensor 的 

路径。 

4 在分配交换机中,只有连接到 1B 的端口才能配置为 VLAN 101。 

5 Sensor 配置为桥接 VLAN。这是通过在接口级别指定要桥接为对的 VLAN 来实现的。 



6 对于该方案,让我们假设您已将 VLAN 100 和 101 配置为 VLAN 对。假设流量已清除,则 Sensor 会将 VLAN 标记 

更改为 101,并通过相应的对等端口将其转发到分配交换机。相反,标记为 101 的流量被更改为标记 100,并通过 

对等端口发送。因此,Sensor 桥接 VLAN 100 和 101。 

7 分配交换机接收标记为 101 的流量。根据 ARP、ARP 回复和目标子网,交换机会将流量转发至合适的端口,这样它 

就能抵达主机 10.1.2.10。 


8 


接口类型 

在配置 VLAN 桥接之前请注意以下事项: 

• 只能在以串联模式部署的 M 系列 Sensor 上配置 VLAN 桥接。 

• 请注意,分配交换机配置必须保持一个 Sensor 的两个链路上的入站和出站流量隔离。交换机必须将来自外网 

VLAN 的流量限制到一个链路,并将内网 VLAN 限制到另一个链路。此交换机配置应与 Sensor 的入站和出站端口配 

置一致。 

• 如果流量具有未在 Sensor 上配置的 VLAN 标记,则流量在经过 IPS 之后,将从 Sensor 传入具有相同 VLAN 标记 

的交换机。由于 1A 和 1B 连接到同一个交换机,因此该交换机将检测到一个回路并尝试关闭这两个端口。因此,您 

务必要禁用交换机上的生成树协议。 

• 当 Sensor 进入 L2 模式或当 Sensor 端口失效打开时,VLAN 桥接将不起作用。这可能会导致流量丢弃。 

定义桥接 VLAN 接口 

将 Sensor 配置为充当 VLAN 桥接时涉及以下步骤: 

任务 

1 定义桥接 VLAN 接口:您需要将接口类型更改为桥接 VLAN。 

a 转到“Sensors” | “Sensor_Name(Sensor 名称)” | “Interface_Name(接口名称)” | “Manage Interface(管理接 

口)”。 

即会显示“Interface Detail(接口详细信息)”页。 

b 在“Interface Detail(接口详细信息)”页中,将“Interface Type(接口类型)”更改为“Bridge VLAN(桥接 VLAN)”, 

并单击“OK(确定)”进行确认。 

在更改接口类型时,会丢失与早期接口类型相关的配置。例如,如果接口类型在早期配置了 VLAN ID 列表的 

VLAN,则该列表会在您将此接口更改为桥接 VLAN 时丢失。 

图 8-9 桥接 VLAN 接口 

2 指定 VLAN 对:在接口级别,您需要指定将桥接为对的 VLAN。例如,如果您希望桥接 VLAN 10 和 11,则需要将 

它们指定为一对。然后,Sensor 先将 VLAN 10 流量标记为 VLAN 11,再将流量通过对等端口转发。同样地, 

Sensor 将 VLAN 11 流量标记为 VLAN 10。 

现在,您可以定义希望 Sensor 桥接的所有 VLAN。然后,您可以向子接口分配全部或部分 VLAN。 

要在接口级别指定 VLAN 对,请执行如下操作: 

a 在“Interface Detail(接口详细信息)”页中,单击“Edit(编辑)”。 

即会显示“Edit Bridge VLAN Interface(编辑桥接 VLAN 接口)”。 


在相应的字段中输入 VLAN ID 及其对等 ID,然后单击“Add(添加)”。 

c 重复以上步骤以添加更多 VLAN 对。 

要删除 VLAN 对,请在“Interface Detail(接口详细信息)”页中选择该 VLAN 对,然后单击“Delete(删除)”。 

在一个特定的时间点,对于每个 VIDS,最多可定义 127 个 VLAN 对。当在接口级别定义的 VLAN 对达到 127 个 

时,您可以将其部分或全部分配给一个子接口,以便能够在接口级别定义更多。 

VLAN 在接口中应当是唯一的。例如,您无法将 20‑21 和 22‑21 配置为一个接口的两个 VLAN 对。 

VLAN 对是对称的,VLAN 会被映射到其对等 ID(无论是在哪个 Sensor 端口看到这些 ID)。必须将连接到 

Sensor 端口的交换机端口配置为接收相应的 VLAN 流量。 

图 8-10 编辑桥接 VLAN 接口 

3 更新 Sensor:在定义了桥接 VLAN 接口之后,您必须用该配置更改来更新 Sensor。请参阅“McAfee Network 

Security Platform IPS 管理手册”。 

定义桥接 VLAN 子接口 

您可以向子接口分配一个或多个在接口定义的 VLAN 对,以进一步细化该过程。 

要创建 VLAN 桥接子接口并分配 VLAN 对,请执行以下操作: 

任务 

1 转至“IPS Settings(IPS 设置)” | “IPS Sensor” | “IPS Interface(IPS 接口)” | “Sub‑Interfaces(子接口)”。 

此时会出现子接口列表。 

2 要向现有的子接口分配 VLAN 对,请单击“Edit(编辑)”;或者单击“New(新建)”。 

3 如果您要创建子接口,请指定要应用的子接口名称和策略。 

4 在“Available VLAN ID(可用的 VLAN ID)”列表中,选择所需的 VLAN 对,并将它们移至“Allocated VLAN ID list(已 

分配的 VLAN ID)”列表。 

“Available VLAN ID(可用的 VLAN ID)”列表包含在接口定义的 VLAN 对。 

5 对于以上显示的配置,如果 Sensor 看到标记为 VLAN 10、11、12 或 13 的流量,则它会应用相应的 

Finance_VLAN 子接口策略。在应用此策略之后,如果 Sensor 找到了要清除的流量,它会将 VLAN 标记更改为对 

等 VLAN 的标记,并通过对等端口转发该标记。例如,如果流量被标记为 12 并显示在 1A,则将其标记为 VLAN 

13,并通过 1B 进行转发。 

如果在接口看到的流量被标记为在接口级别定义的 VLAN,但没有分配给子接口,则 Sensor 会应用特定于该接口的 

策略,还会将 VLAN 标记更改为其对等 VLAN 的标记。 

6 更新 Sensor:在将 VLAN 对分配给子接口后,您必须用该配置更改来更新 Sensor。请参阅“McAfee Network 

Security Platform IPS 管理手册”中的“更新所有 Sensor 的配置”。 

VLAN 桥接详细信息 

在 Threat Analyzer 中查看 VLAN 桥接详细信息 




8 


接口类型 

对于从“Interfaces configured for VLAN Bridging(配置了 VLAN 桥接的接口)”生成的警报,将包含攻击所源自的 VLAN。 

例如,值为 11 的 VLAN ID 指示源主机在 VLAN 11 中。有关 Threat Analyzer 的信息,请参阅“McAfee Network 

Security Platform Manager 管理手册”。 

图 8-11 在 Threat Analyzer 中查看 VLAN 桥接详细信息 

报告中的 VLAN 桥接详细信息 

在 Sensor 配置报告中选择“Port Configuration(端口配置)”和“Interface Configuration(接口配置)”,即会显示“Bridge 

VLAN(桥接 VLAN)”类型的接口和相应的 VLAN 对。有关报告的详细信息,请参阅“McAfee Network Security 

Platform Manager 管理手册”。 

图 8-12 报告中的 VVLAN 桥接详细信息 


故障转移模式下 Sensor 的 VLAN 桥接 

本节介绍了一个示例方案,此方案将对故障转移模式下的 Sensor 进行 VLAN 桥接配置。 

图 8-13 故障转移模式下的 Sensor 

上图中的网络设计如下: 

• 此方案表示一个活动/备用网络路径。 

• 客户端 10.1.1.20 在 VLAN 100 中,服务器 11.1.1.20 在 VLAN 200 中。 

• 客户端连接到访问交换机 AS 1,服务器连接到访问交换机 AS 2。 

• 访问交换机 AS1 和 AS2 连接到两个 L3 交换机(DS1 和 DS2)以实现冗余。 

• DS1 和 DS2 中都禁用了生成树协议。 

• DS1 连接到 Sensor 01,DS2 连接到 Sensor 02。这些 Sensor 都处于故障转移模式。 

• Sensor 端口 1A 和 1B 被配置为桥接 VLAN 100 和 150。 

• 在 DS1 和 DS2 中,只有连接到 1A 和 AS1 的端口进行了 VLAN 100 配置。 

• 只有连接到端口 1B 的交换机端口进行了 VLAN 150 配置。 



• 连接到 1B 的 DS1 和 DS2 端口被配置为一个热备用路由器协议 (HSRP) 组。这便提供了一个活动/备用网络路径。 


8 


接口类型 

• 连接到 AS2 的 DS1 和 DS2 端口被配置为一个 HSRP 组,为响应流量提供活动/备用网络路径。 

• 来自 HSRP 组成员的 HSRP Hello 多播务必要到达所有参与的 HSRP 组成员,以触发 HSRP 切换。 

在客户端尝试访问服务器时的流量流如下: 

• 来自客户端的流量由 AS1 标记为 VLAN 100,然后发送给 DS1 或 DS2(取决于哪个路径为活动状态)。假设当前 

DS1 处于活动状态,DS2 处于备用状态。 

• 对于 DS1,唯一可用于 VLAN 100 流量的路径是 Sensor 01 的端口 1A 的路径。 

• 如果流量已清除,则 Sensor 将 VLAN 标记更改为 150,并通过 1B 将其发送出去。 

• DS1 相应地进行 VLAN 间路由,且流量通过 AS2 到达服务器。 

• 如果 Sensor 01 关闭,则会触发 HSRP 故障转移,DS2 变为活动路径。因此,IPS 和 VLAN 桥接都由 Sensor 02 执 

行。由 Sensor 01 处理的所有流都是完整的,因为 Sensor 02 具有所有这些流的更新状态信息,并进行无缝接管。 

CIDR 接口 

选择 CIDR 接口类型会指示 Sensor 根据一个或多个主机的 IP 地址来应用策略。 

背景 

1993 年,无类别域间路由 (CIDR) 策略最初被作为 RFC 1519 提交到网络社区。 

RFC 1519 旨在解决当时的两个主要网络问题: 

• B 类网络地址空间的耗尽问题。 

• Internet 路由器中无法管理的路由表增加问题。 

CIDR 明确引入了“子网”这一概念。 

在 RFC 1519 之前,网络是“分类”的。也就是说,通过显式网络掩码无法确定网络所能维护的主机数量。类是根据 IP 地 

址中第一个八位字节的值确定的。 

类第一个八位字节的值假定的网络掩码 

A 1 ‑ 126 255.0.0.0 

B 128 ‑ 191 255.255.0.0 

C 192 ‑ 223 255.255.255.0 

例如,假设 IP 地址 32.x.x.x 具有一个 24 位的网络掩码(A 类),地址 155.x.x.x 具有一个 16 位掩码(B 类),地址 

210.x.x.x 具有一个 8 位掩码(C 类)。 

根据 RFC 1519,B 类网络地址空间耗尽的根本原因是缺乏适用于中等规模组织的类。具体来说,一个 C 类网络最多允 

许 254 个可用主机 (2^8) ‑ 2,一般而言,这一数量实在太少。而一个 B 类网络可提供 65534 个可用主机 (2^16) ‑ 2,这 

在大多数情况下又显得过多了。 

从每个网段中针对网络地址和广播地址的可用主机数量中减去 2 个。 

路由表的过度增加也是因这一缺陷导致。设想您的网络中有 1000 台主机。您的 ISP 一般不会为贵公司分配一个完整的 

B 类网络,而一个 C 类网络又是不够的。因此,ISP 可能会为您分配四个 C 类网络。但是,ISP 接下来必须在其路由表 

中为这四个网络中的每一个网络包含一个新路由,并通过 Internet 传播这些路由。 

在这种情况下,当单个路由可能已顺利抵达同一终端时,会有四个路由添加到 Internet 路由空间。 


CIDR 弃用了“网络类”这一概念,并引入一个要求,即所有网络和主机都应以 IP 地址和显式网络掩码的组合来表示。这 

样一来,CIDR 就可解决上述两个问题。具体来说,CIDR 允许如下情况: 

• 将 B 类网络直接划分为多个 C 类网络块。 

• 将这些块聚集成一个 Internet 路由。 

CIDR 计算方法 

在计算子网时,务必记住: 

• 要使用到的位数是有限的(32 位,假设为 IPv4)。 

• 位既可以表示网络,也可以表示主机,但不能同时表示两者。因此,每次将位分配给其中之一时,即暗示它已从另 

一个取消分配。 

例如,计算采用二进制,因此每当您向网络分配额外的位时,可用网络的数量就会增加一倍,但每个网络的主机数量会 

减少一半。(如果向每个网络的主机分配额外的位,则结果相反。) 

请考虑传统的 B 类网络 155.49.0.0。其传统的网络掩码为 255.255.0.0。也就是说,在可用于网络掩码的 32 位中,有 

16 位表示网络,16 位表示每个网络的主机。这样,每个网络中还剩 65534 台可用主机 (2^16) ‑ 2。 

ISP 可能会对此网络重新分配一个更长的网络掩码(向网络分配更多位),以获得该范围的更多网络块。例如,ISP 可能 

会使用一个 21 位掩码 (255.255.248.0) 来分配 155.49.0.0 范围。为此,ISP 可以找到一个介于传统 B 类和 C 类网络之 

间的折衷。 

在 21 位网络掩码这一特定情况下,ISP 可在 32 个 (8) C 类网络块中重新分配 155.49.0.0 范围,每个块使用一个路由表 

示。这是如何实现的? 

如果我们没有将 155.49.0.0 网络设为子网,则会剩下一个包含 2^16 ‑ 2 或 65,534 台主机的网络。 

如果我们现在将另一位分配给网络(17 位),并从主机 (15) 中去掉一位,则子网的数量会加倍至 2,每个子网的主机数 

量减为 2^15 ‑ 2 或 32,766。 

同样,每向网络掩码中添加一位,可用子网的数量会加倍,但每个网络上的主机数量几乎会减少一半。 

如果我们将同样的计算方法用于 21 位网络掩码,则会得出 32 个子网。同时会将 11 位用于主机数,即每个子网有 

2046 (2^11 ‑ 2) 个主机。 

计算子网块的数量 

要快速确定给定掩码将生成的子网的数量,需要从打算使用的掩码中减去传统的“分类”掩码的位数,然后使用差值得出 

二进制指数。 

在我们的示例中,传统的 B 类网络掩码使用 16 位,而我们打算使用 21 位掩码。因此,等式为: 

21 ‑ 16 = 5 

将此数作为二进制指数,2^5(即 32)便是可用子网数。 

计算每个块中的网络数量 

要确定这 32 个子网中每一个所包含的 C 类网络数量,需要从传统的“分类”掩码中减去打算使用的位数,然后使用差值 

得出二进制指数。 

这次,我们关注的是传统的 C 类网络(块),其中每个网络使用一个 24 位掩码,并且我们仍打算使用 21 位掩码。因此, 

等式为: 

24 ‑ 21 = 3 

该数作为二进制的指数,计算结果为每个块中有 2^3(即 8)个 C 类子网。 




8 


接口类型 

示例 C 类块 

下面是从 155.49.0.0 网络和 21 位掩码一起所产生的前三个 C 类网络块,以及每个块所需要的相应 Internet 路由。 

块 1 

分配的客户 C 类网络: 

155.49.0.0 / 24 

155.49.1.0 / 24 

155.49.2.0 / 24 

155.49.3.0 / 24 

155.49.4.0 / 24 

155.49.5.0 / 24 

155.49.6.0 / 24 

155.49.7.0 / 24 

相应的 Internet 路由: 155.49.0.0 / 21 

块 2 


155.49.8.0 / 24 

155.49.9.0 / 24 

155.49.10.0 / 24 

155.49.11.0 / 24 

155.49.12.0 / 24 

155.49.13.0 / 24 

155.49.14.0 / 24 

155.49.15.0 / 24 


块 3 


155.49.16.0 / 24 

155.49.17.0 / 24 

155.49.18.0 / 24 

155.49.19.0 / 24 

155.49.20.0 / 24 

155.49.21.0 / 24 

155.49.22.0 / 24 


155.49.23.0 / 24 


摘要 

ISP 可以根据需要,使用为它分配的传统 B 类网络(16 位)并和它所使用的子网(本例为 21 位掩码,即 255.255.248.0) 

划分子网,将 C 类网络(24 位)的块分配给客户,同时还会最大程度减少到达每个客户网络所需的新路由的数量。 

当然,ISP 可按照相似的逻辑将一个或更多这样的网络块进一步子网化,以满足小型客户的需求。 

定义 CIDR 接口 

可以考虑使用在 Internet 上免费提供的众多子网计算器之一。它们通常会简化 CIDR 地址方案的创建过程,而且至少可用 

于检查您的工作情况。 

使用“CIDR” 接口的第一步是将接口类型从“Dedicated(专用)”更改为“CIDR”。 

下一步是编辑接口并将它与 CIDR 范围关联起来。此时,您需要定义其流量预计会遍历此接口的所有内部 CIDR 范围。 

用户界面将 CIDR 范围视作 IP 网络(或地址)与掩码长度(位数)的组合。在“添加 CIDR 范围”一图中,192.168.0.0/24 

网络已经添加到列表中,而 10.0.0.0/8 网络将添加到列表中。 

图 8-14 添加 CIDR 范围 

下图显示了最后一步的结果: 

图 8-15 当前 CIDR 范围 



如果我们在资源树中的“IPS Settings(IPS 设置)(/My Company(我的公司)/IPS Settings(IPS 设置)” | “IPS Settings 

(IPS 设置)” | “Summary(摘要))”节点查看接口及其相应的策略,会发现“CIDR”接口与它所替换的“Dedicated(专用)” 

接口没有区别。 


8 


接口类型 

但是,如果重新查看接口 3A‑3B 的详细信息,便可直接看出此接口已经与 CIDR 范围 192.168.0.0/24 或 10.0.0.0/8 关 

联: 

图 8-16 接口详细信息 

图 8-17 摘要 

如果流经接口 3A‑3B 的流量不含 192.168.0.0/24 或 10.0.0.0/8 网络中的源地址,则将不再应用默认串联策略。应用该 

策略的流量将是父级(物理接口)的流量,且应用的“不是”Sensor 策略。 

定义 CIDR 子接口 

下一步是将这些 CIDR 范围全部或部分分配给子接口,以进一步细化扫描过程。 


在添加单个主机一图中,我们添加名为 Unix ServersB7 的子接口,为其分配“All‑Inclusive with Audit(综合策略,包含审 

核)”,并只将 Unix 服务器的 IP 地址分配给它。(要指定单个主机,您要使用一个 32 位网络掩码:) 

图 8-18 添加单个主机 

在单个 CIDR 范围中成功分配多个子网的关键,就是相应的子接口不能重叠。显而易见,您不能多次分配全部或部分 

CIDR 范围,CIDR 地址分配的灵活性有时还会在计算时产生混乱。 

如果您尝试多次使用一个 CIDR 范围,则用户界面会返回错误。让我们通过一个示例来介绍这类错误的产生。 

在此时的配置过程中,除 IP 地址 192.168.0.12(Unix 服务器)外,整个 192.168.0.0/24 CIDR 范围都可为子接口所用。 

在“添加范围”一图中,我们还分配 192.168.0.128/25 范围。也就是说,将分配从 192.168.0.128 到 192.168.0.255 的 

IP 范围。 

如果我们接下来尝试分配 192.168.0.1/25,则会收到如下错误: 

图 8-19 CIDR 块分配错误 

失败的原因是 192.168.0.0/25 分配从 192.168.0.0 到 192.168.0.127 的 IP 范围,其中包括之前分配的 Unix 服务器的 

IP 地址 192.168.0.12,因而造成重叠。出现此错误表明,虽然已创建了子接口,但实际上并没有将 CIDR 范围分配给 

它。 

如果需要在创建或编辑子接口的过程中进行实际检查,则可以始终查看当前已分配的 CIDR 范围的列表。此选项在“查看 

已分配的 CIDR 块的列表”中突出显示。 

图 8-20 查看已分配的 CIDR 块的列表 




8 




网络输出类似于如下形式: 

图 8-21 已分配的 CIDR 块的列表 

如果我们丢弃第三个子接口(即返回错误的子接口),并重新查看此接口的详细信息,会发现一些信息发生了变化。 

图 8-22 子接口详细信息 

资源树包含每个新子接口的图标。 

“Details(详细信息)”窗口中显示 192.168.0.0/24 CIDR 范围中要与新子接口(从而与其策略)关联的部分。 

最终配置的详细信息如下所示: 

• 出入 192.168.0.128 ‑ 192.168.0.255 地址范围中 IP 地址的流量将应用“Default Inline IPS(默认串联 IPS)”策略。 

• 出入 Unix 服务器 B7 (192.168.0.12) 的流量将应用“Default Inline IPS(默认串联 IPS)”策略。 

• 出入 192.168.0.0/24 CIDR 范围或 10.0.0.0/8 范围中其他任何 IP 的流量将应用 DMZ 策略。 

• 不包含以上任何 IP 地址的流量将应用默认策略(分配给 Sensor 的策略)。 

例如,我们当然可以为全部或部分 10.0.0.0/8 CIDR 范围创建另一个子接口。 

如果以后希望将另一个 CIDR 范围分配给子接口,则首先必须将此范围添加到 1A 接口。 

当您向子接口添加一个 VLAN 或 CIDR 块时,Network Security Platform 会将相应的主机视为内部主机,并围绕这些主 

机建立一个“保护域”。系统会使用与该子接口关联的策略来扫描出入这些主机的所有入站流量和出站流量。 

背景 

每个接口和子接口都有一个名为“VIDS ID”的唯一 ID,每个 VIDS ID 都与某个策略关联。每个策略进而与入站和出站规 

则集相关联,每个规则集包含一个攻击特征码列表。因此,Sensor 必须跟踪 VIDS ID 和每个流的方向,以最终确定扫 

描时要使用哪些攻击(特征码、侦测或 DoS)。 

每当通过 Sensor 建立新流时,有关该流的信息会添加到 Sensor 的状态表。状态表包括标准的连接跟踪信息,例如源 

IP/端口和目标 IP/端口、协议 ID 以及 TCP 状态和序列号。每个状态表条目还包含 VIDS ID 和相关流的方向。 


VIDS ID 和方向是在连接开始时确定的,例如通过 SYN 数据包确定。Sensor 使用与存储的 VIDS ID 和方向对应的攻击 

特征码扫描整个流。它不会在一个方向应用入站规则集而在另一个方向应用出站规则集。 

VIDS ID 和方向的确定直接取决于相关的工作模式和接口类型。 

串联模式和专用接口 

最简单的方案是,SYN 数据包到达以串联模式工作并配置为 Dedicated(专用)接口的端口。 

作为 Dedicated(专用)接口,只有一个 VIDS ID 与整个接口关联,因此可以直接识别。 

Sensor 会根据 SYN 数据包到达的物理端口来确定方向: 

• 如果 SYN 数据包到达连接到内部网络的端口,则整个流会被视为出站流。 

• 如果 SYN 数据包到达连接到外部网络的端口,则整个流会被视为入站流。 

端口定义为 Manager “Configure Ports(配置端口)”页的内部与外部。 

例如,如果客户端通过 1A/1B 监控端口连接到服务器,且该客户端的 SYN 数据包到达外部端口,则会使用与 1A/1B 接 

口的入站规则集和 VIDS ID 相关联的特征码来扫描流中的所有流量(包括从服务器返回的流量)。 

子接口 

如果 SYN 数据包到达的同一个端口改为与“VLAN”或“CIDR”接口关联,则 Sensor 应用相同的逻辑来确定流的方向,但 

必须进行额外的工作才能确定 VIDS ID。 

如果接口类型为“VLAN”,则 Sensor 会比较 SYN 数据包中的 VLAN 标记和以前定义的所有 VLAN ID,以确定该流所属 

的子接口。 

• 如果 Sensor 将 SYN 标记数据包中的 VLAN 与它的一个 VLAN ID 相匹配,则它会将匹配的子接口的 VIDS ID 存储 

在其状态表中。 

• 如果 Sensor 未将 SYN 标记数据包中的 VLAN 与它的一个 VLAN ID 相匹配,则它将存储与父级接口相关的 VIDS 

ID。 

如果接口类型为“CIDR”,则 Sensor 会使用流的方向来确定该流所属的子接口。 

• 如果该流的方向为入站,则 Sensor 会将 SYN 数据包的目标 IP 地址与它的 CIDR 子接口进行比较。 

• 如果匹配,则 Sensor 会存储与所匹配的 CIDR 子接口相关联的 VIDS ID。 

• 否则,它会存储与父级接口相关联的 VIDS ID。 

• 如果该流的方向为出站,则 Sensor 会将 SYN 数据包的源 IP 地址与它的 CIDR 子接口进行比较。 

• 如果匹配,则 Sensor 会存储与所匹配的 CIDR 子接口相关联的 VIDS ID。 

• 否则,它会存储与父级接口相关联的 VIDS ID。 

SPAN 或 Tap 模式 

处于 SPAN 和 Tap 模式的端口为 Sensor 提供的用于确定方向的物理方法是不同的。例如,在 SPAN 模式中,流量是 

从一个交换机镜像到一个 Sensor 监控端口,因此 Sensor 无法轻易区分入站流量和出站流量。 

Sensor 确定 SPAN 或 Tap 模式中的方向和 VIDS ID 的方法取决于相关的接口类型。 


如何应用策略 8 


8 



专用接口 

以 SPAN 或 Tap 模式运行 Dedicated(专用)接口时,Sensor 使用以下逻辑来确定方向和 VIDS ID: 

• 当 SYN 数据包到达 SPAN 或 Tap 端口时,Sensor 会将其目标 IP 地址与所有已知的 CIDR 块进行比较。 

• 如果匹配,则整个流量被视为入站。 

• 如果不匹配,则整个流量被视为出站。 

• Sensor 会存储与接口相关的 VIDS ID。 

VLAN 接口 

以 SPAN 或 Tap 模式运行“VLAN”接口时,Sensor 会使用以下逻辑来确定方向和 VIDS ID: 

• 当 SYN 数据包到达 SPAN 或 Tap 端口时,Sensor 会将其 VLAN 接口块和 SYN 数据包中的目标 IP 地址进行比较。 

• 如果匹配,则整个流量被视为入站。 

• 如果不匹配,则整个流量被视为出站。 

• Sensor 将其 VLAN 子接口和 SYN 数据包中的 VLAN 标记进行比较。 

• 如果匹配,则 Sensor 会存储所匹配的 VLAN 子接口的 VIDS ID。 

• 否则,Sensor 会存储父级接口的 VIDS ID。 

CIDR 接口 

以 SPAN 或 Tap 模式运行“CIDR”接口时,Sensor 会使用以下逻辑来确定方向和 VIDS ID: 

• 当 SYN 数据包到达 SPAN 或 Tap 端口时,Sensor 会将其 CIDR 子接口与 SYN 数据包中的目标 IP 地址进行比较。 

• 如果匹配,则整个流会被视为入站流,且 Sensor 会存储所匹配的 CIDR 子接口的 VIDS ID。 

• 如果不匹配,则 Sensor 将其 CIDR 子接口与 SYN 数据包中的来源 IP 进行比较。 

• 如果匹配,则整个流会被视为出站,且 Sensor 会存储与所匹配的 CIDR 子接口相关联的 VIDS ID。 

• 如果不匹配,则整个流会被视为入站流,且 Sensor 会存储与父级接口相关联的 VIDS ID。 


目前没有任何规则对使用哪种接口进行硬性规定,因此,请考虑各接口的最常见用法: 

• 如果客户按照 VLAN 对相似的系统进行分组,而且 Sensor 位于网络上的汇集位置,则最常使用 VLAN 子接口。显 

然,如果相关的流量标记为中继 VLAN,则可以仅使用 VLAN 子接口。 

• 但是,桥接 VLAN 子接口有特殊用途。这仅适用于以串联模式部署的 M 系列 Sensor。顾名思义,它用于桥接 

VLAN 接口。您可使用此功能使所有 VLAN 间流量受制于使用最少数量 Sensor 的 IPS。 

• 但是,CIDR 子接口有特殊用途。您可以创建多个子接口,并为这些接口分配策略。 



下面列出了在使用子接口时应考虑的限制: 


接口、VLAN 和 CIDR 限制 8 

• 在一个 Sensor 上同时使用 VLAN 和 CIDR 子接口是完全可以接受的。但正如我们所见,您无法在一个接口上混用 

VLAN 和 CIDR 子接口。 

• Network Security Platform 支持从 1 到 4095 的 VLAN ID。请参阅“McAfee Network Security Platform 故障排除手 

册”以了解每个 Sensor 的最大接口数。 


8 




9 故障排除 

9 

本节包含的信息有助于解决可能在串联模式部署中遇到的一些问题。 

目录 

如何验证流量是否流过 Sensor 

如何验证故障转移对的创建是否成功 

更换 Sensor 

如何验证流量是否流过 Sensor 

对于任何串联 Sensor,您都可以通过启动 Threat Analyzer 检查每个 Sensor 的统计数据,以确认流量正确地流经该 

Sensor。 

有关如何验证流量是否流经 Sensor 的分步说明,请参阅“McAfee Network Security Platform Manager 管理手册”。 

如何验证故障转移对的创建是否成功 

如果您已在电缆连接检测信号连接之前配置了故障转移对,则将注意到“Operational Status(工作状态)”页上会显示故障 

转移对状态错误,直到进行检测信号电缆连接。如果两者之间正常通信,则不会显示这些消息。 

两个 Sensor 之间的通信状态可在 Manager 接口的“Sensors” | “View Details(查看详细信息)”页中监控,或直接从任 

一 Sensor 的 CLI 进行监控。 

Sensor 命令行界面 (CLI) 是一个非常实用的工具,可用于验证配置是否正确,并诊断可能的问题。 

show 

有关详细信息,请参阅“McAfee Network Security Platform CLI 手册”。 

显示 Sensor 的所有当前配置设置。您可以使用“show”命令验证各种信息,例如 Sensor 的管理端口 IP 地址,当前运行 

的软件版本,Manager 的 IP 地址,以及将 Sensor 连接到 Manager 的网关 IP 地址。 

status 

显示 Sensor 系统状态,例如工作状态、检测到的警报总数、发送给 Manager 的警报总数。“status”命令可用于验证已 

在 Sensor 和 Manager 之间建立信任关系,并可用于验证 Sensor 是否正在检测攻击并将警报发送到 Manager。 

• 如果未建立信任,则检查 Sensor 名称以及 Sensor 和 Manager 上的共享密钥。 

• 如果 Sensor 在相当长一段时间内未检测攻击,则检查 Sensor 健康状况和已建立信任的状态。另外,还要检查您的 

端口配置和电缆连接设置。 


9 

更换 Sensor 

故障排除 

更换 Sensor 

show failover-status 

此命令显示 Sensor 是否启用故障转移功能,以及对等 Sensor 的状态。您可以从任何一个 Sensor 上运行该命令。输出 

包括“Failover Enabled(启用故障转移)”(必须为“YES(是)”)和“Peer Status(对等状态)”(必须为“UP(打开)”)字段。 

前一个字段指示是否已将发布命令的 Sensor 配置为故障转移对的一部分,后一个字段显示两个 Sensor 之间通信的当前 

状态。 

downloadstatus 

此命令显示各种下载/上载操作的状态:特征码、软件映像、DoS 配置文件下载(从 Manager 到 Sensor)以及 DoS 配置 

文件和调试跟踪上载(从 Sensor 到 Manager)。 

列出您已执行该操作的次数、上次执行时的状态(如果操作失败,会包括失败的原因),以及执行命令的时间。 

本节介绍如何用新的 Sensor 更换无法运行的 McAfee ® Network Security Sensor (Sensor)。 

更换失效的 Sensor 

如果 Sensor 失效而无法再工作,就必须换用新的 Sensor。 

不同型号的 Sensor 不可互换,否则就必须重新配置 Sensor 与 McAfee ® Network Security Manager (Manager) 之间的信 

任关系。例如,如果用 I‑4000 Sensor 替换 I‑2700 Sensor,就必须像安装新 Sensor 一样进行安装和配置。 

您也不能用仅故障转移 (FO) 型号的 Sensor 更换标准 Sensor。这些 Sensor 只能用于故障转移配置,不能用作独立 

Sensor。 

用相同型号的 Sensor 更换失效的 Sensor 

如果用相同型号的 Sensor 更换失效的 Sensor(例如,用其他 I‑2700 更换原来的 I‑2700),只需要安装新的 Sensor,并 

使用与失效的 Sensor 相同的信息对其进行配置即可。 

任务 

1 拆除失效的 Sensor。必须关闭 Sensor 的电源,拔掉电源插头,拔掉电缆,然后将其从机架上卸下。 

2 在机架上安装新 Sensor。 

3 请遵循整个配置过程。请参阅,“McAfee Network Security Platform 集成手册”中的“配置 Sensor”。确保使用与失效 

的 Sensor 相同的名称和共享密钥配置新 Sensor。(可以沿用失效 Sensor 的名称,但该名称必须是唯一的。 

Manager 无法识别两台名称完全相同的活动 Sensor。) 

新旧 Sensor 的 IP 地址无需相同,它们也可以处于不同的网络中。(如果 Sensor 与 Manager 处于不同的网络,就必 

须设置网关 IP 地址,可能还需要配置管理端口的速度,以及是全双工还是半双工。)请参阅“McAfee Network 

Security Platform CLI 手册”。 

4 在 Manager 的“Configuration(配置)”页,选择代表该 Sensor 的节点,然后选择“/Device List(设备列 

表)/Device_Name(设备名称)节点>Physical Device(物理设备)” | “Reboot(重新启动)”。 

更换 Sensor 时维护 SSL 证书信息 

I‑1200、I‑1400 和 M 系列 Sensor 不支持 SSL 功能。 


如果您的 Sensor 用于检测 SSL 流量中的恶意活动,建议将 SSL 信息保存到外部闪存中,这样在 Sensor 失效而需要更 

换时,就可以使用该闪存重新建立所有 Sensor 证书数据。然后,还可将这些证书数据导入新的 Sensor。Sensor 最多 

可以存储 64 个证书。 

应该在物理上始终保护好袖珍闪存,因为导出到闪存的证书数据用于加密 SSL 服务器密钥。 

将 SSL 证书数据导出到外部闪存 

任务 

1 如果 Sensor 在线并正在运行,则从 Sensor CLI 键入 

shutdown 。 

2 在要求确认时回答 

Y 。 

3 等待一分钟,然后关闭 Sensor 电源。 

4 将袖珍闪存插入 Sensor 的外部闪存插槽(有关外部闪存端口的位置图,请参阅相应的“McAfee Network Security 

Platform Sensor 产品手册”)。 

5 打开系统电源。 

6 登录到 Manager。 

7 在建立到 Manager 的连接和信任后,请从 Sensor CLI 键入 

exportSensorcerts 。这会将所有证书数据导出到外部闪存中。 

8 然后,按照“步骤 1”到“步骤 3”的介绍重复关机过程。 

9 拔出外部袖珍闪存。 

当 Sensor 电源打开时,切勿拔出或插入袖珍闪存。 

从外部闪存导入 SSL 证书数据 

任务 

1 如果 Sensor 在线并正在运行,则从 Sensor CLI 键入 

shutdown 。 

2 在要求确认时回答 

Y 。 

3 等待一分钟,然后关闭 Sensor 电源。 

4 将袖珍闪存插入 Sensor 的外部闪存插槽(有关外部闪存端口的位置图,请参阅 Sensor 的“McAfee Network 

Security Platform 产品手册”)。 

5 打开系统电源。 

6 系统启动后,在 Sensor CLI 中键入 

importsensorcerts 。 

7 然后,按照“步骤 1”到“步骤 3”的介绍重复关机过程。 

故障排除 

更换 Sensor 9 


9 

故障排除 

更换 Sensor 

8 拔出外部袖珍闪存。 

9 打开系统电源,系统启动后会自动与 Manager 建立信任关系。 

当 Sensor 电源打开时,切勿拔出或插入袖珍闪存。 

从 Manager 删除 Sensor 

要从 Manager 删除以前添加的 Sensor,请执行以下步骤: 

任务 

1 从 Manager 删除 Sensor: 

a 启动 Sensor 软件。 

b 登录到 Manager。 

c 单击“Configure(配置)”选项卡。 

d 选择“/Device List(设备列表)> Device List(设备列表)> Devices(设备)”。 

e 从“Devices(设备)”主窗口选择 Sensor。 

f 单击“Delete(删除)”。 

g 确认删除。 

2 清除 Sensor 上的配置信息: 

a 在 Sensor 上键入 deinstall。 

. 这样即可删除 Sensor 与 Manager 之间的信任关系。 

b (可选)键入 resetconfig。 

这样可清除 Sensor 上的配置值,并重新启动 Sensor。 

resetconfig 不会清除 Sensor 名称和 Sensor IP 地址等值。这些值必须手动重置。 

c 键入 show 查看其他配置设置。 

d 要退出会话,请键入 exit。 

将删除的 Sensor 添加回 Manager 

如果从 Manager 删除某 Sensor 后又想重新添加,则必须重置 Sensor 上的共享密钥值,以重新建立 Sensor 与 

Manager 之间的安全通信。 

从 Manager 删除 Sensor 后,执行以下步骤: 

任务 

1 将终端连接到 Sensor 的控制台端口。(有关连接到控制台端口的说明,请参阅对应的“McAfee Network Security 

Platform Sensor 产品手册”。) 

2 在出现登录提示时,登录到 Sensor。 

3 清除用来与 Sensor 通信的证书。在提示符处键入 deinstall。 

4 键入 show 可查看 Sensor 的当前配置信息。 

按需要进行修改。 


5 重新输入 Sensor 的共享密钥信息。 

在命令提示符处键入 set sensor sharedsecretkey 。 

此值用于在 Sensor 与 Manager 之间建立信任关系。密钥值最多可包含 25 个字符的任何 ASCII 文本,且区分大小 

写。 

示例:set sensor sharedsecretkey IPSkey123。 

6 要退出会话,请键入 exit。 

7 按照“将 Sensor 添加到 Manager”中的说明将 Sensor 重新添加到 Manager。 

故障排除 

更换 Sensor 9 


9 

故障排除 

更换 Sensor 


索引 

數字 

10 Gbps (XFP) 监控端口 61, 125, 137, 140 

2 层通过模式 29 

A 

aata 数据包 104 

ARP 欺骗检测功能 139 

B 

保护域 202 

本手册中使用的约定和图标 7 

部署 

部署模式 

C 

部署前的注意事项;Sensor 部署 25, 33, 34 

Sensor 部署;deployment 27, 30, 31 

重复警报 167 

串联模式 130, 132–137, 140 

串联模式;I-4000 Sensor 28, 29 

CIDR 接口 196 

CIDR 计算方法 197 

D 

单路径拓扑 162 

电缆连接指南 178 

端口配置 156, 157, 159 

端口速度配置 167 

端口颜色代码 121 

F 

非对称路由 174 

G 

高可用性 161 

GE 端口的失效打开 169 

更换 Sensor 62, 208 

更新服务器 

特征码更新;更新 39 

关于本手册 7 

故障转移对节点 159 

故障转移实现 162 

I 

Internet 路由 198–200 

J 

检测信号 154 


检测信号链路 177–179 

监控 Sensor 性能 67, 144 

检验故障转移配置 180 

交叉电缆 178, 179 


接口组 

用接口组监控; 35 

技术支持, 正在查找产品文档 8 

L 

冷启动丢弃操作 207, 208 

M 

McAfee ServicePortal, 访问 8 

每个块中的网络数 197 

M 系列 sensor 端口配置 118 

M 系列 Sensor 端口配置 121 

N 

Network Security Platform sensor 部署模式 25 

Network Security Platform sensor MIB 66, 67, 208, 209 

Network Security Platform Sensor MIB 66, 67, 209, 210 

NMS 

P 

管理 NMS 用户 63, 64, 141–143 

NMS IP 9, 65, 66, 140, 142, 143 

配对连接的 Sensor 端口 153 

配置指标 73, 75, 147 

Q 

千兆位以太网端口 155 

全双工和半双工监控 26 

R 

冗余 Sensor 163 


软件失效打开 155 

S 

Sensor 统计数据 37, 38, 99, 137, 138, 140 

sensor 性能 52, 54–56, 59, 61, 102, 103 

Sensor 性能 50–52, 69, 72, 103, 146 

Sensor 性能监控 69, 145 

sensor 性能摘要 68, 144 

Sensor 许可证 58, 117 

Sensor 职责 9, 10, 39–41, 44 

ServicePortal, 正在查找产品文档 8 

设置阈值 76–78, 80, 82–85, 148–151 

失效打开功能 

关于;失效关闭功能 37, 47, 49, 57, 113, 115–117 

失效打开和失效关闭 28 

数据包过滤器 109, 111 

SPAN/集线器工作模式 

部署 I-1200;I-1200 Sensor 25, 29 

STP 集中 165 

数据包捕获 106 

T 

Tap 模式 

从 Tap 模式切换到串联模式内部 Tap 模式 32 

通过身份验证的代理服务器 45–47, 112 

Tx 引脚 169 

V 

VIDS ID 202–204 

索引 

VLAN 接口 184, 185, 187 

VLAN 限制 205 

W 

网络方案 181, 182 

网络拓扑 162 

文档 

X 

线速 153 

印刷约定和图标 7 

本手册面对的读者 7 

指定产品, 正在查找 8 

下载配置 160 

性能统计数据 172 

虚拟 IDS 183 

虚拟路由器冗余协议 161 

Z 

主动/被动 162 

主动/主动 162 

主 sensor 168 

主 Sensor 174 

自定义指标 86–90, 92, 95, 101, 102, 152 

子接口 184 

子网 196 

子网块 197 

最佳高可用性策略 154 


700-3577-11

Network Security Platform 7.0 Device Administration Guide - McAfee

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?