《入侵检测与防御原理及实践(微课版)》 课件 CH3 CISCO IPS.pptx

《入侵检测与防御原理及实践(微课版)》 课件 CH3 CISCO IPS.pptx

  1. 1、本文档共114页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多

商用入侵防御系统

CISCOIPS;目录;IPS的部署方式;Managementport

带外网管口,用于网管IPS,需要配置IP地址,有路由能力,管理流量(TELNET、HTTPS)从该接口进入

ConsoleportandAUXport:CLI命令行控制口

Ethernetport(业务接口)

Sensor口,监控接口,没有IP,没有路由能力,需要被监控的流量从此进入或流出。;PromiscuousMode(杂合模式,也叫侧挂式)

相当于IDS,阻断操作需要联动设备,且需要设备支持,目前思科IPS仅能联动思科设备,且需要设备支持。国产IDS也存在这种问题,如绿盟IDS,可以联动的设备仅有天融信与绿盟产品。

不能阻止初始化包(有可能初始化包就是一个攻击),也不能阻止一个连接,比较容易逃避检查。

优点是IDS对网络影响最小,即使IDS挂机不影响网络正常,业务流量即使超过IDS处理能力也仅仅只是放过这些流量不处理,不造成断网。;InlineMode(内联模式)

纯正的IPS。能够阻止触发包、后继数据包及所有源于该主机的报文,可以使用流量规范化技术,可减少或者消除网络逃避技术,也可有效阻止蠕虫。

缺点:会影响网络数据包的转发速率,减缓流量速度并增加延时。IPS一旦挂机将断网,且一旦流量超过了IPS的处理能力将对网络正常工作产生影响,且会影响对时间敏感的应用程序,如VOIP流量。;InlineMode(内联模式)

(1)接口对模式:2个嗅探接口组成接口对,数据包通过IPS的第1个接口进入,从第2个接口流出。

(2)VLAN对模式:该模式类似于接口对模式,具有扩展增强能力,能在物理接口上关联VLAN对。嗅探接口在VLAN对模式中作为802.1g中继端口,且IPS对中继端口上的VLAN对进行VLAN桥接。被VLAN对其中之一所接收的数据包将被分析,然后转发到其他配对VLAN。

(3)VLAN组模式:每个物理接口或内部接口都可分成为VLAN组子接口,每个特定的子接口上包含一组VLAN。VLAN组模式提供对同一传感器应用多个策略的能力。VLAN组模式允许传感器模拟多接口,传感器可以只有几个接口,但看上去拥有很多个接口。;注意:IPS处理流量是有限制的,IPS4240流量最大为250M。

IPS不太可能部署在流量巨大的核心网络,一般IPS会放在企业网络出口边界。;在边界上部署应该放在边界??备内部还是外部?

只要有钱,内外一起放!!!

一般情况只需要一个就足够了,而且推荐放在内部。因为如果外部放置可能会产生很多无用的告警,比如有攻击行为产生,可能该攻击行为在经过防火墙时被防火墙过滤掉

工作模式可根据企业需求进行选择,比如企业要求上网优先,可以选择侧挂式,若需求更安全则需选择在线模式。;部署阶段

1、实施阶段

购置IPS并将其按要求接入网络

sensor几乎是默认配置,没有任何更改

2、调整阶段

实施阶段结束后开始,并且会持续一段时间,可能在一两个月左右,通过不断地调整sensor来提高告警的准确性,减少误报和漏报。

网络复杂程度不同,时间也不同,需要了解网络流量

3、维护阶段

主要是升级IPS系统和更新SIG,这个阶段是永久持续的。;IPS调整是为了让IPS更适合用户网络,监控告警可以更准确地判断某一行为是否严重或造成网络安全影响,以便更好地保护网络。

调整前需了解网络:

(1)自身网络的情况,如拓扑、地址空间、操作系统和应用程序、安全策略等。

(2)需要保护的设备,如漏洞扫描程序、重要的服务器或设备等。

(3)特征库中所调整的Signature(特征,简称SIG)所监控的协议。

(4)区分网络中哪些是正常流量,哪些是异常流量。

调整方法:

(1)激活或禁用SIG

(2)修改SIG参数

(3)自定义SIG

(4)创建eventactionoverrides策略和eventactionfilters策略

;IPS初始化;GNS3安装及配置

设置语言(中文)

导入IOS镜像(R、SW、FW等的OS);推荐用CLI命令配置基本的参数初始化IPS后,利用CiscoIPS设备管理器(IDM)以图形化界面来实现管理。;利用代码初始化

sensor#conft 进入配置模式

sensor(config)#servicehost 进入主机配置模式

sensor(config-hos)#network-settings 进入网络配置模式

sensor(config-hos-net)#host-nameIPS4215 设备命名

sensor(config-hos-net)#host-ip54/24, 配置管理地址、掩码及网关

sensor(config-hos-net)#telnet-opti

您可能关注的文档

文档评论(0)

xiaobao + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档