基于思科路由器的IOS入侵检测功能配置SDM要点.ppt

任务总结 小结 主要介绍了入侵检测技术与入侵防御技术相关概念 入侵检测技术与入侵防御技术的功能 基于思科路由器IOS入侵防御技术的配置与实现 练习 利用CCP配置思科路由器的IPS功能 谢谢您的收看！ 请多提宝贵意见！ 谢谢 * 此页为了让学员和老师对课程安排有一个大致的了解。 此页列出本课程的主要培训标题，列出每章的名称即可。如果章下面的节不多，在此页可以一并列出。 此页胶片仅在授课时使用，胶片＋注释中有专门的目录和标题，不需要重复使用该页面。 专 业 务 实 学 以 致 用 计算机网络安全技术与实施 学习情境4：实训任务4.2 基于思科路由器的IOS入侵检测功能配置 内容介绍 任务场景 1 任务相关工具软件介绍 2 任务设计、规划 3 任务实施及方法技巧 4 任务检查与评价 5 任务总结 6 任务场景 任务相关工具软件介绍 利用SDM对CISCO路由器IOS配置入侵检测与防御功能 互联网 防火墙 路由器 LAN WAN 交换机 具有入侵检测与防御 功能的路由器与防火墙 任务设计、规划 任务实施及方法技巧 第一部分 入侵检测与入侵防御技术相关原理 任务实施及方法技巧 1、入侵检测与入侵防护比较 前面的工作任务主要是对入侵检测技术IDS的知识与实施方法的介绍，这里将对入侵检测IDS与入侵防护IPS进行相关知识的综合介绍，并加以区别。最后通过在思科路由器或PIX防火墙上利用SDM配置IPS完成入侵防护功能的规划与配置。 IDS与IPS都具有对攻击进行识别的能力，例如对网络与主机资源的非法访问或攻击等，也都可以将发现的攻击行为进行日志及报警并发送到管理控制台。主要区别在于： IDS类似于Sniffer Pro等协议分析或嗅探软件的功能，放置于网络关键点进行协议数据检查，一般采取旁路方式进行协议数据的分析（例如利用端口镜在交换机上分流共享到网络关键入口的协议数据），将这获得的协议数据与攻击特征库相比较，以确定是否发生攻击行为。当确认发生网络攻击后，IDS可采取的动作主要是日志、报警或向管理控制台发送消息，较高级的是能与防火墙联动对正在进行的攻击进行阻断。 IPS是以串联方式放置与防火墙后，或串入网络主干对关键区域的流量进行入侵防护，一般采取在线方式，所有流经IPS的数据流量，IPS都可以加以控制，以终止对网络的攻击行为。将流经的协议数据与攻击特征库相比较，识别针对网络的攻击，并能终止攻击的继续进行，根据预先设定对以类攻击进行记录，对同样的攻击做出快速准确的判断与阻止。 任务实施及方法技巧 2、IDS与IPS对检测到的攻击所采取的行动 对所接收到的或流经的协议数据IDS或IPS都要进行检查，如果匹配特征库中的某条时，就会根据设定，进行如下可能的行动（可以是一个或多个组合动作）： 日志（Log）：记录到系统日志或指定的数据库中去，如上一个工作任务； 报警（Alert/Alarm）：可以利用向管理人员发出声音、邮件或消息等报警信息； 重置（Rest）：对一些面向连接的协议如TCP，发送复位协议数据包； 丢弃（Drop）：将协议数据包丢弃； 阻止（Block）：拒绝源地址的数据流量通过。 IDS属于被动设备，因为数据流量不经过IDS设备。当检测到攻击时IDS发出警报给管理人员。IDS可以选用的动作主要是：对后续的攻击数据流量通过安全设备或路由器；或由IDS向攻击的源发送TCP协议的复位数据包。 IPS属于主动设备，所有数据流量流经IPS设备，一般IPS有多个接口（一般至少要有两个接口，流量的入口与出口）。IPS可以拒绝攻击流量的通过；可以把警报发到管理工作站。 互联网 企业服务器区 IDS传感器 互联网 企业服务器区 IPS 任务实施及方法技巧 3、IDS与IPS的组合 IPS可以主支阻断认为是攻击的流量，但不应该阻断合法的数据流量，只是阻断确认为攻击的流量，这需要进行调整以免网络连接的中断。而IDS可以对IPS进行有效的补充，可以检测IPS是否工作，除认为是正常流量外对其它流量认为是可疑流量并进行报警，可以对IPS没有阻止的可能是攻击的数据流量进行标识。 国内产品专家对两种产品的研讨如下：IDS入侵检测系统侧重于全面检测、记录与警报，而IPS则更擅长深层防御与精确阻断。从应用角度来看，低风险企业往往关注风险控制，对检测与监控和风险管理要求不高，此类企业选择IPS产品即可；对金融、电信等高风险行业，不仅关注风险控制，而且关注风险管理，这样的企业既需要IDS，也需要IPS；对于一些监管机构/部门来说，往往更关注风险管理的检测与监控，监督风险控制的改进状况，因此IDS是比较合适的产品。由于各行业客户不同的应用环