收藏
下载资源

思科IPS产品线安装部署指南V2

上传人:cn****1 文档编号:489523014 上传时间:2022-10-27 格式:DOC 页数:53 大小:3.27MB
返回 下载 相关 举报
思科IPS产品线安装部署指南V2_第1页
第1页 / 共53页
思科IPS产品线安装部署指南V2_第2页
第2页 / 共53页
思科IPS产品线安装部署指南V2_第3页
第3页 / 共53页
思科IPS产品线安装部署指南V2_第4页
第4页 / 共53页
思科IPS产品线安装部署指南V2_第5页
第5页 / 共53页
点击查看更多>>
资源描述

《思科IPS产品线安装部署指南V2》由会员分享,可在线阅读,更多相关《思科IPS产品线安装部署指南V2(53页珍藏版)》请在金锄头文库上搜索。

1、思科IPS 设备配置部署简述目录1概述32IPS 4200典型工作模式4IPS 4200 IDS 工作模式部署步骤6IDS 4200 IDS模式部署 图例6配置IPS初始化安装6配置业务承载交换机7配置IDM访问8配置IPS 4200软件升级11配置IPS 4200接口采集信息15配置IPS 4200与网络设备联动16配置IPS 4200与网络设备联动策略执行19观察IPS 4200联动效果22使用IEV管理IPS 420022IPS 4200 IPS 工作模式部署步骤25Inline 工作模式结构图25Inline模式配置步骤263NM-CIDS IDS部署步骤29NM-CIDS 模式部署

2、图例31安装NM-CIDS31初始化配置NM-CIDS32配置IDM访问33配置NM-CIDS软件升级34配置NM-CIDS接口采集信息34配置NM-CIDS与网络设备联动34观察NM-CIDS联动效果344IOS IPS部署步骤34ISR IOS IPS模式部署 图例35ISR IOS IPS部署概述35配置ISR路由器更新软件35配置ISR路由器SDF文件35配置ISR路由器启用IPS功能36检查配置38ASA/PIX IOS IPS部署概述40配置ASA/PIX防火墙启用IPS功能40检查配置415ASA AIP IPS部署步骤42配置AIP-IPS初始化安装42配置ASDM 访问IPS

3、436C6K IDSM部署步骤45IDSM-2 Inline模式数据流图解46确认IDSM-2 模块46IDSM-2 模块和Catalyst 6500 关联配置48IDSM-2 IPS 配置497CSA 主机IPS/IDS部署步骤50CSA 终端安全防护软件功能概述50CSA 5.1 安装需求50CSA 5.1 扩展功能总结50禁止客户端卸载CSA、关闭CSA、停止CSA服务51禁止客户端修改CSA安全级别55管理可移动介质的使用:光驱、软驱、U盘578IPS与MARS集成部署概要581 概述 很多人在使用和配置IPS系列产品中遇到很多问题,甚至怀疑系列产品的功能及作用,其实这个产品的功能及特

4、性勿庸置疑!只是如何利用好这个强大的产品真正的帮助最终用户解决问题 才是目前的重点, 特此撰写一篇关于IPS实施部署指南的文章,供大家参加。内容中如果有错误或者疏漏请直接改正,或者通过带外方式直接联系我,希望和大家一起讨论。此文章均依照IPS 5.X 软件版本为标准起草。 目前我们IPS/IDS产品线 主要包含设备类型如下:1、 模块化产品:ASA上的AIP IPS模块、C6K上IDSM模块、路由器上NM- CIDS模块。2、 Appliance产品:IPS 42XX系列3、 集成式产品:路由器IOS 集成 IPS功能、ASA/PIX集成IPS功能4、 主机IPS/IDS产品:CSA 总体IP

5、S策略: 在我们没有推出高性能IPS解决方案之前,建议推荐我们更多的从IPS 设计部署理念入手、从强调我们IPS产品与网络中我们其他安全防护产品之间协作、互动等方面入手引导用户(这里才是我们目前真的优势所在,也是对用户来讲最最实用的功能所在),避免进入竞争对手的单纯强调设备性能的套路(当然这取决于项目前期的技术工作是否到位)。目前我们很多竞争对手强调IPS性能指标,其实是相对片面的,INLINE 模式高性能IPS部署 目前还有很多局限性 比如基于检测准确度 及误报等、自身的安全性问题等(建议可以从分析这些局限性入手 引导用户的思维)。最后着重值得强调的是:IPS比的并不是性能,比的就是攻击检测

6、的准确性。IPS不是用于普通用户流量或骨干线路的保护,应当放在关键运算资源前面进行防护。相对而言,攻击检测的准确度以及误报率是需要着重衡量的指标。 思科IPS 市场份额分析,据Q2CY06 全球统计,思科在IDS/IPS市场排第一位: Cisco 17.9 ISS 14.4 Symantec 13.4 3COM 10.8Junifer 7.8 希望可以通过部署实施文档,让更多的人了解思科IPS,并且让更多的人利用好我们这个强大的工具。 在使用思科IPS产品同时,请确保购买了相应的IPS特征码库升级服务,否则无法享受免费的更新操作。注明:设备在最初购买时 可以去ENSE申请两个月试用授权。这个授

7、权只能免费申请一次,不能重复申请。因此再次强调大家应该注意尽早购买IPS 特征码升级服务。2 IPS 4200典型工作模式IPS/IDS功能如下: 我们现在大多安全产品均支持IPS/IDS两种特性,这取决与你在实施中把此设备放置于那种模式。IPS 产品的最大优点是可以在线的检测攻击及拦截攻击, 而我们IDS产品的虽然不能自身主动拦截攻击,但是其最大优点是可以与现网思科的网络基础设备联动,并且调度这些设备拦截攻击。IPS 4200 典型部署应用描述: 利用IPS 4200 支持多个检测接口的特性实现企业安全域防护,可以利用IPS 4200上面的监控接口连接至多个企业业务承载交换机(OA网络、前置

8、网络、核心交换网络),IPS 4200 接口就像伸出了多个触角监控企业各个安全区域内部的安全状况,一旦安全域(信任域、非信任域)内部发现恶意行为,可以配置IPS自动实现与网络中其他安全设备联动响应例如: 发现安全域中攻击行为后调用路由器资源进行网络边界防护及攻击的拦截; 与C6K设备联动利用VACL 对于安全域内部发现的攻击进行动态的防护拦截控制; 与ASA/PIX/FWSM联动 对于边界安全及核心安全区域进行保护。 总结:最大限度的利用IPS 4200 对于网络的安全域划分的全局可见性,与安全域中相应的网络安全设备实现联动,最终使得企业中现有网络安全设备互相配合,为整个企业的安全域划分保驾护

9、航!也是对于思科自防御网络的自适应安全理念的一个很好的诠释。IPS 4200 典型功能如下:1、IPS sensor自身的drop packet能力,当一个signature检测到攻击,在in-line的时候Action中可设置以下三种操作,对包进行丢弃: Deny Attacker Inline Deny Connection Inline Deny Packet Inline2、IDS与其他设备联动阻断攻击 ,即blocking 功能。sensor上有一个network access controller,控制相关联动设备的block动作,可以有三种block类型: Host blockB

10、locks all traffic from a given IP address. Connection blockBlocks traffic from a given source IP address to a given destination IP address and destination port. Network blockBlocks all traffic from a given network. 目前network access controller可支持的联动设备包括: cisco router catalyst 6500 PIX/ASA/FWSM说明:其中ro

11、uter是用过ACL、交换机是通过VACL来实现阻断,而防火墙PIX/ASA/FWSM通过配置shun/no shun实现阻断。注意如果利用防火墙进行攻击的阻断,目前利用Host block实现。2.1 IPS 4200 IDS 工作模式部署步骤2.1.1 IDS 4200 IDS模式部署 图例说明:如上图所示 IPS 4240为例,IPS4240 配置于IDS模式监控及管理网络,配置IPS管理口单独作为管理接口使用,配置流量监控的四个流量捕捉接口分别连接关键的业务交换机,并且配置相应的业务交换SPAN 多个VLAN的流量发送给相应的IPS 4240的监控接口,最后配置IPS 4240 与网络

12、中处于相应位置的思科路由器、交换机、PIX/ASA/FWSM设备进行联动,最终实现攻击的在线拦截。下面将对于配置步骤作相应的说明和要点总结。2.1.2 配置IPS初始化安装配置步骤如下:1. 使用Console 方式连接IPS设备,并且对于设备完成初始化安装工作。-service hostnetwork-settings IDS 设备管理口地址对应Man0/0host-name IPS4240telnet-option enabled 定义管理网段exittime-zone-settingsoffset 8standard-time-zone-name beijingexit-service

13、web-server 启动GUI 管理方式,方便利用GUI IDM管理工具管理enable-tls trueport 443exit-注意:为了保证网管的安全性,请尽量使用SSH方式对于IPS设备进行管理。2. 连接IPS 4200 四个流量监控接口至用户相应的关键业务承载交换机,比如:办公网交换机、数据中心业务交换机、网络前置交换机等。2.1.3 配置业务承载交换机配置步骤如下:注意:命令的语法会根据你的交换机特性及软件版本略有区别。目前我们的路由器也支持SPAN功能,也可以结合利用。1、C4500交换机配置命令如下:连接相应的业务交换机,配置VLAN BASE SPAN 发送流量给IPS设

14、备连接的流量接口。具体配置说明如下:monitor session 1 source vlan 110 , 135 , 140 , 150 说明:可以同时SPAN多个VLAN信息给监控接口,当让也可以配置接口直接SPAN。monitor session 1 destination interface Fa3/1 encapsulation dot1q2、C3750 交换机配置命令如下:monitor session 1 source vlan 70monitor session 1 destination interface Gi1/0/10 encapsulation replicate3、也可以配置交换机使用RSPAN引导流量进入监控端口说明:配置把SPAN的流量发送给IPS 4240连接的接口,注意这里配置了封装DOT1Q的操作,目的是 可以让IPS SENSOR发现攻击是从那个VLAN发现的,如果你不完成上述安装,在IP

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 国内外标准规范

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号