思科IPS产品线安装部署指南V2.docx
- 文档编号:10643496
- 上传时间:2023-02-22
- 格式:DOCX
- 页数:58
- 大小:3.02MB
思科IPS产品线安装部署指南V2.docx
《思科IPS产品线安装部署指南V2.docx》由会员分享,可在线阅读,更多相关《思科IPS产品线安装部署指南V2.docx(58页珍藏版)》请在冰豆网上搜索。
思科IPS产品线安装部署指南V2
思科IPS设备配置部署简述
目录
1概述3
2IPS4200典型工作模式4
2.1IPS4200IDS工作模式部署步骤6
2.1.1IDS4200IDS模式部署图例6
2.1.2配置IPS初始化安装6
2.1.3配置业务承载交换机7
2.1.4配置IDM访问8
2.1.5配置IPS4200软件升级11
2.1.6配置IPS4200接口采集信息15
2.1.7配置IPS4200与网络设备联动16
2.1.8配置IPS4200与网络设备联动策略执行19
2.1.9观察IPS4200联动效果22
2.1.10使用IEV管理IPS420022
2.2IPS4200IPS工作模式 部署步骤25
2.2.1Inline工作模式结构图25
2.2.2Inline模式配置步骤26
3NM-CIDSIDS部署步骤29
3.1NM-CIDS模式部署图例31
3.2安装NM-CIDS31
3.3初始化配置NM-CIDS32
3.4配置IDM访问33
3.5配置NM-CIDS软件升级34
3.6配置NM-CIDS接口采集信息34
3.7配置NM-CIDS与网络设备联动34
3.8观察NM-CIDS联动效果34
4IOSIPS部署步骤34
4.1ISRIOSIPS模式部署图例35
4.2ISRIOSIPS部署概述35
4.2.1配置ISR路由器更新软件35
4.2.2配置ISR路由器SDF文件35
4.2.3配置ISR路由器启用IPS功能36
4.2.4检查配置38
4.3ASA/PIXIOSIPS部署概述40
4.3.1配置ASA/PIX防火墙启用IPS功能40
4.3.2检查配置41
5ASAAIPIPS部署步骤42
5.1配置AIP-IPS初始化安装42
5.2配置ASDM访问IPS43
6C6KIDSM部署步骤45
6.1IDSM-2Inline模式数据流图解46
6.2确认IDSM-2模块46
6.3IDSM-2模块和Catalyst6500关联配置48
6.4IDSM-2IPS配置49
7CSA主机IPS/IDS部署步骤50
7.1CSA终端安全防护软件功能概述50
7.2CSA5.1安装需求50
7.3CSA5.1扩展功能总结50
7.3.1禁止客户端卸载CSA、关闭CSA、停止CSA服务51
7.3.2禁止客户端修改CSA安全级别55
7.3.3管理可移动介质的使用:
光驱、软驱、U盘57
8IPS与MARS集成部署概要58
1概述
很多人在使用和配置IPS系列产品中遇到很多问题,甚至怀疑系列产品的功能及作用,其实这个产品的功能及特性勿庸置疑!
只是如何利用好这个强大的产品真正的帮助最终用户解决问题才是目前的重点,特此撰写一篇关于IPS实施部署指南的文章,供大家参加。
内容中如果有错误或者疏漏请直接改正,或者通过带外方式直接联系我,希望和大家一起讨论。
此文章均依照IPS5.X软件版本为标准起草。
目前我们IPS/IDS产品线主要包含设备类型如下:
1、模块化产品:
ASA上的AIPIPS模块、C6K上IDSM模块、路由器上NM-
CIDS模块。
2、Appliance产品:
IPS42XX系列
3、集成式产品:
路由器IOS集成IPS功能、ASA/PIX集成IPS功能
4、主机IPS/IDS产品:
CSA
总体IPS策略:
在我们没有推出高性能IPS解决方案之前,建议推荐我们更多的从IPS设计部署理念入手、从强调我们IPS产品与网络中我们其他安全防护产品之间协作、互动等方面入手引导用户(这里才是我们目前真的优势所在,也是对用户来讲最最实用的功能所在),避免进入竞争对手的单纯强调设备性能的套路(当然这取决于项目前期的技术工作是否到位)。
目前我们很多竞争对手强调IPS性能指标,其实是相对片面的,INLINE模式高性能IPS部署目前还有很多局限性比如基于检测准确度及误报等、自身的安全性问题等(建议可以从分析这些局限性入手引导用户的思维)。
最后着重值得强调的是:
IPS比的并不是性能,比的就是攻击检测的准确性。
IPS不是用于普通用户流量或骨干线路的保护,应当放在关键运算资源前面进行防护。
相对而言,攻击检测的准确度以及误报率是需要着重衡量的指标。
思科IPS市场份额分析,据Q2CY06全球统计,思科在IDS/IPS市场排第一位:
Cisco17.9%
ISS14.4%
Symantec13.4%
3COM10.8%
Junifer7.8%
希望可以通过部署实施文档,让更多的人了解思科IPS,并且让更多的人利用好我们这个强大的工具。
在使用思科IPS产品同时,请确保购买了相应的IPS特征码库升级服务,否则无法享受免费的更新操作。
注明:
设备在最初购买时可以去HTTP:
//WWW.CISCO.COM/GO/LICENSE申请两个月试用授权。
这个授权只能免费申请一次,不能重复申请。
因此再次强调大家应该注意尽早购买IPS特征码升级服务。
2IPS4200典型工作模式
IPS/IDS功能如下:
我们现在大多安全产品均支持IPS/IDS两种特性,这取决与你在实施中把此设备放置于那种模式。
IPS产品的最大优点是可以在线的检测攻击及拦截攻击,而我们IDS产品的虽然不能自身主动拦截攻击,但是其最大优点是可以与现网思科的网络基础设备联动,并且调度这些设备拦截攻击。
IPS4200典型部署应用描述:
利用IPS4200支持多个检测接口的特性实现企业安全域防护,可以利用IPS4200上面的监控接口连接至多个企业业务承载交换机(OA网络、前置网络、核心交换网络…),IPS4200接口就像伸出了多个触角监控企业各个安全区域内部的安全状况,一旦安全域(信任域、非信任域)内部发现恶意行为,可以配置IPS自动实现与网络中其他安全设备联动响应例如:
∙发现安全域中攻击行为后调用路由器资源进行网络边界防护及攻击的拦截;
∙与C6K设备联动利用VACL对于安全域内部发现的攻击进行动态的防护拦截控制;
∙与ASA/PIX/FWSM联动对于边界安全及核心安全区域进行保护。
总结:
最大限度的利用IPS4200对于网络的安全域划分的全局可见性,与
安全域中相应的网络安全设备实现联动,最终使得企业中现有网络安全设备互相配合,为整个企业的安全域划分保驾护航!
!
!
也是对于思科自防御网络的自适应安全理念的一个很好的诠释。
IPS4200典型功能如下:
1、IPSsensor自身的droppacket能力,
当一个signature检测到攻击,在in-line的时候Action中可设置以下三种操作,对包进行丢弃:
•DenyAttackerInline
•DenyConnectionInline
•DenyPacketInline
2、IDS与其他设备联动阻断攻击,即blocking功能。
sensor上有一个networkaccesscontroller,控制相关联动设备的block动作,可以有三种block类型:
•Hostblock—BlocksalltrafficfromagivenIPaddress.
•Connectionblock—BlockstrafficfromagivensourceIPaddresstoagiven
destinationIPaddressanddestinationport.
•Networkblock—Blocksalltrafficfromagivennetwork.
目前networkaccesscontroller可支持的联动设备包括:
ciscorouter
catalyst6500
PIX/ASA/FWSM
说明:
其中router是用过ACL、交换机是通过VACL来实现阻断,而防火墙PIX/ASA/FWSM通过配置shun/noshun实现阻断。
注意如果利用防火墙进行攻击的阻断,目前利用Hostblock实现。
2.1IPS4200IDS工作模式部署步骤
2.1.1IDS4200IDS模式部署图例
说明:
如上图所示IPS4240为例,IPS4240配置于IDS模式监控及管理网络,配置IPS管理口单独作为管理接口使用,配置流量监控的四个流量捕捉接口分别连接关键的业务交换机,并且配置相应的业务交换SPAN多个VLAN的流量发送给相应的IPS4240的监控接口,最后配置IPS4240与网络中处于相应位置的思科路由器、交换机、PIX/ASA/FWSM设备进行联动,最终实现攻击的在线拦截。
下面将对于配置步骤作相应的说明和要点总结。
2.1.2配置IPS初始化安装
配置步骤如下:
1.使用Console方式连接IPS设备,并且对于设备完成初始化安装工作。
------------------------------
servicehost
network-settings
host-ip192.168.15.100/24,192.168.15.254IDS设备管理口地址对应Man0/0
host-nameIPS4240
telnet-optionenabled
access-list192.168.15.0/24定义管理网段
exit
time-zone-settings
offset8
standard-time-zone-namebeijing
exit
------------------------------
serviceweb-server启动GUI管理方式,方便利用GUIIDM管理工具管理
enable-tlstrue
port443
exit
------------------------------
注意:
为了保证网管的安全性,请尽量使用SSH方式对于IPS设备进行管理。
2.连接IPS4200四个流量监控接口至用户相应的关键业务承载交换机,比如:
办公网交换机、数据中心业务交换机、网络前置交换机等。
2.1.3配置业务承载交换机
配置步骤如下:
注意:
命令的语法会根据你的交换机特性及软件版本略有区别。
目前我们的路由器也支持SPAN功能,也可以结合利用。
1、C4500交换机配置命令如下:
连接相应的业务交换机,配置VLANBASESPAN发送流量给IPS设备连接的流量接口。
具体配置说明如下:
monitorsession1sourcevlan110,135,140,150
说明:
可以同时SPAN多个VLAN信息给监控接口,当让也可以配置接口直接SPAN。
monitorsession1destinationinterfaceFa3/1encapsulationdot1q
2、C3750交换机配置命令如下:
monitorsession1sourcevlan70
monitorsession1destinationinterfaceGi1/0/10encapsulationreplicate
3、也可以配置交换机使用RSPAN引导流量进入监控端口
说明:
配置把SPAN的流量发送给IPS4240连接的接口,注意这里配置了封装DOT1Q的操作,目的是可以让IPSSENSOR发现攻击是从那个VLAN发现的,如果你不完成上述安装,在IPS报告中你将无法判断攻击事件与VLANID的对应关系。
4、观察配置命令是否生效:
C4503-SW05#shmonitorsession1
Session1
---------
Type:
LocalSession
SourceVLANs:
Both:
110,135,140,150
DestinationPorts:
Fa3/1
Encapsulation:
DOT1Q
Ingress:
Disabled
Learning:
Disabled
2.1.4配置IDM访问
配置步骤如下:
1.安装最新的JAVE虚拟机1.5版本,并且调节JAVE内存至256M。
方法:
控制面板――JAVA图标――入下图操作对于JAVARUNTIME参数进行如下修改。
2.配置利用HTTPS:
//X.X.X.X:
Port访问IPS设备,其中IP地址就是你的IPS网管IP地址。
如果你最开始配置时改变的网管的端口,这里也需要填写相应的访问端口号。
缺省使用443端口进行连接,即时你使用的80端口,所有的流量也是经过加密传输,必须强制要求你的IE浏览器安装JAVA虚拟机插件才可以正常的进行登陆访问。
2.1.5配置IPS4200软件升级
1.配置IPS启用流量监控接口,进行流量采集。
2.配置IPS进行软件、补丁及授权信息、特征库进行更新
A、配置IPS软件主版本号进行升级,注意目前最新版本可以升级至5.1.1,IPS-K9-min-5.1-1g.pkg软件可以从思科WEB网站下载。
注意如果用户目前使用4.0版本,则需要进行大版本号升级工作。
相应的软件也可以从思科网站下载。
注意进行大版本号和小版本号软件相应升级后需要重启IPS设备;进行授权更新及IPS特征库升级时无需重启IPS设备。
B、配置IPS软件小版本号进行升级,注意目前最新版本可以升级至SP5.1.4,IPS-K9-sp-5.1-4.pkg软件可以从思科WEB网站下载。
C、配置IPS进行授权信息升级,注意目前如果你还没有签订IPSSIGINITURE升级服务,则只能去思科网站利用你的IPS主机序列号申请60天的试用授权,这种试用版授权只能申请一次,因此建议购买IPS信息库升级授权。
说明:
这里可以直接上网更新申请,也可以下载授权到机器本地,从本地直接读取授权文件,注意必须读取授权文件后,你才能升级IPS特征库。
D、配置IPS特征库进行升级,注意目前最新版本IPS-sig-S259-minreq-5.1-2.pkg软件可以从思科WEB网站下载。
这次升级无需重启。
2.1.6配置IPS4200接口采集信息
2.1.7配置IPS4200与网络设备联动
说明:
联动方法有三种,与PIX/ASA/FWSM通过SHUN联动,与C6K通过VACL联动,与路由器通过ACL进行联动。
下面主要以与PIX/ASA/FWSM通过SHUN命令远程利用防火墙进行联动为例说明:
1、配置设备LOGINPROFILE,这里需要配置你希望进行联动的设备访问方式。
必须提供登陆用户名、密码以及ENABLE密码。
2、配置设备Blocking设备菜单,这里需要配置你希望进行联动的设备的IP地址,以及设备的类型,并且需要引用刚才指定好的模板。
以与防火墙联动配置如下:
2.1.8配置IPS4200与网络设备联动策略执行
1、一种简单的配置方式,可以单独调节SIGNATURE的执行策略,进行联动配置。
这样子配置的好处是:
可以针对用户的需求来配置联动,避免由于误报产品不必要的拦截。
2、另外一种简单的配置方式,可以单独调节RR进行执行策略,进行联动配置。
这样子配置的好处是:
可以统一指定执行策略,避免单独调节特性的特征库行动。
3、配置不拦截网段,作用:
在用户关键业务网段,即使发现攻击由关键业务主机发起,也不要对于这些关键业务设备的IP地址进行拦截。
4、配置设备IP地址被拦截后,中断的时间。
2.1.9观察IPS4200联动效果
1、在IDM监控界面观察。
注意:
你可以选择删除以便接触拦截工作,也可以观察相应的拦截原因。
2、在联动网络设备上观察。
BJ-FW-PIX525#shshunstatistics
outside=ON,cnt=10
untrust=OFF,cnt=0
inside=OFF,cnt=0
dmz=OFF,cnt=0
dmz1=OFF,cnt=103
Shun207.5.236.75cnt=0,time=(0:
23:
26)
Shun211.244.158.62cnt=0,time=(0:
04:
01)
BJ-FW-PIX525#
2.1.10使用IEV管理IPS4200
1、配置IEV添加IPS管理地址。
2、IEV报表查看
2.2IPS4200IPS工作模式 部署步骤
2.2.1Inline工作模式结构图
2.2.2Inline模式配置步骤
1、开启IPS接口
2、创建IPSInline模式的interfacepair,指定inside和outside接口.
3、分配接口到virtualsensor
4、在Inline模式中,配置特定signature的Inline行为.
5、开启Bypass功能,用于IPS出现故障时,数据业务不出现中断.
6,攻击拦截功能
ResetTCPConnection
3NM-CIDSIDS部署步骤
部署说明:
NM-CIDS只能工作再IDS模式,不能配置成为IPS模式使用。
NM-CIDS不支持桥接接口。
NM-CIDS虽然不是一个标准的IPS设备,但是可以实现很多类似的功能,比如检测到恶意行为穿过路由器时,马上可以和网络设备联动推送动态ACL并且可以实现SESSIONRESET等操作。
NM-CIDS可以与思科ISR等路由器搭配作为强化边界安全的一个主力特性使用。
NM-CIDS模块配置简单,可以与网络设备进行联动,同时配合ISR路由器IOSIPS(目前IPS650特征库)功能可以使设备识别攻击、拦截攻击的能力大幅度强化,同时利用NM-CIDS(目前1200+IPS特征码支持)的信息发送给IPS网管软件IEV,以及思科安全网管MARS可以更加有效的帮助网络管理员在网络边界有效的隔离攻击时间,同时了解网络的威胁,如果结合ISR路由器软件集成的NETFLOW功能配合MARS一起使用将会有更好的边界防御效果。
支持思科C2600,2800,3600,3700,and3800全线路由器。
C2800,3700,3800Upto45Mbps性能。
•FivehundrednewTCPconnectionspersecond
•FivehundredHTTPtransactionspersecond
3.1NM-CIDS模式部署图例
注意:
NM-CIDS没有外部的Console接口,NM-CIDS模块上面的接口使提供网管操作使用的,例如更新软件、特征码库、监控信息传递、IDM及IEV等GUI界面网管访问使用。
注意此时:
模块上面的管理接口可以连接至公司的网管VLAN,以便保证设备的安全性。
这点与其他IPS设备的网管接口连接方式完全类似。
3.2安装NM-CIDS
首先,安装NM-CIDS进入ISR路由器槽位。
然后依次执行下面的命令完成对于模块的初始化安装工作。
1、首先通过命令确认你的模块是否安装完毕,并且获取模块所处相应槽位信息。
router#showinterfacesids-sensorslot_number/0
请填写相应NM-CIDS所在槽位号。
可以利用Showrun命令观察所在槽位。
2、开启路由器CEF功能
router#configurationterminal
router(config)#ipcef
3、为NM-CIDSSensor接口指定IP地址
router(config)#interfaceids-sensor1/0
router(config-if)#ipunnumberedloopback0
注意:
可以自己另外设定地址,我们这里使用路由器已有Loopback地址。
4、开启路由器Sensor接口
router(config-if)#noshutdown
3.3初始化配置NM-CIDS
1、登陆NM-CIDS模块
router#service-moduleids-sensorX/0session
Trying10.16.0.0,2033...Open
X是NM-CIDS模块在ISR路由器中所处的槽位。
可以利用Ctrl-Shift-6+X推出NM-CIDS管理模式。
2、完成NM-CIDS模块的初始化工作
------------------------------
servicehost
network-settings
host-ip172.16.0.10,172.16.0.4IDS设备外部管理口地址对应Man0/0
host-namenm-cids
telnet-optionenabled
access-list192.168.15.0/24定义管理网段
exit
time-zone-settings
offset8
standard-time-zone-namebeijing
exit
------------------------------
serviceweb-server启动GUI管理方式,方便利用GUIIDM管理工具管理
enable-tlstrue
port443
exit
------------------------------
注意:
为了保证网管的安全性,请尽量使用SSH方式对于IPS设备进行管理。
3.连接NM-CIDS模块外部接口至相应的网管VLAN承载交换机,以便后面进行软件升级时使用。
3.4配置IDM访问
配置步骤如下:
1.安装最新的JAVE虚拟机1.5版本,并且调节JAVE内存至256M。
方法:
控制面板――JAVA图标――入下图操作对于JAVARUNTIME参数进行如下修改。
2.配置利用HTTPS:
//X.X.X.X:
Port访问IPS设备,其中IP地址就是你的IPS网管IP地址。
如果你最开始配置时改变的网管的端口,这里也需要填写相应的访问端口号。
缺省使用443端口进行连接,即时你使用的80端口,所有的流量也是经过加密传输,必须强制要求你的IE浏览器安装JAVA虚拟机插件才可以正常的进行登陆访问。
3.5配置NM-CIDS软件升级
3.6配置NM-CIDS接口采集信息
1、在路由器上面配置流量映射:
C3845(config)#interfaceG0/0
进入你想进行流量监控的路由器接口配置模式
C3845(config-if)#ids-service-modulemonitoring
配置接口进行流量监控
2、在NM-CIDS上面配置启用SENSOR:
3.7配置NM-CIDS与
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 思科 IPS 产品线 安装 部署 指南 V2
![提示](https://static.bdocx.com/images/bang_tan.gif)