基于思科路由器IOS入侵檢測(cè)功能配置SDM

1、基于思科路由器IOS入侵檢測(cè)功能配置SDM專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用任務(wù)場(chǎng)景任務(wù)場(chǎng)景1任務(wù)相關(guān)任務(wù)相關(guān)工具軟件介紹工具軟件介紹2任務(wù)設(shè)計(jì)、規(guī)劃任務(wù)設(shè)計(jì)、規(guī)劃3任務(wù)實(shí)施及方法技巧任務(wù)實(shí)施及方法技巧4任務(wù)檢查與評(píng)價(jià)任務(wù)檢查與評(píng)價(jià)5任務(wù)總結(jié)任務(wù)總結(jié)6專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用利用SDM對(duì)CISCO路由器IOS配置入侵檢測(cè)與防御功能互聯(lián)網(wǎng)互聯(lián)網(wǎng)防火墻防火墻路由器路由器LANWAN交換機(jī)交換機(jī)具有入侵檢測(cè)與防御具有入侵檢測(cè)與防御功能的路由器與防火墻功能的路由器與防火墻專專

2、業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用第一部分第一部分入侵檢測(cè)與入侵防御技術(shù)相關(guān)原理入侵檢測(cè)與入侵防御技術(shù)相關(guān)原理專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用1 1、入侵檢測(cè)與入侵防護(hù)比較、入侵檢測(cè)與入侵防護(hù)比較 前面的工作任務(wù)主要是對(duì)入侵檢測(cè)技術(shù)IDS的知識(shí)與實(shí)施方法的介紹，這里將對(duì)入侵檢測(cè)IDS與入侵防護(hù)IPS進(jìn)行相關(guān)知識(shí)的綜合介紹，并加以區(qū)別。最后通過在思科路由器或PIX防火墻上利用SDM配置IPS完成入侵防護(hù)功能的規(guī)劃與配置。 IDS與IPS都具有對(duì)攻擊進(jìn)行識(shí)別的能力，例如對(duì)網(wǎng)絡(luò)與主機(jī)資源的非法訪問或攻擊等，也都可以將發(fā)現(xiàn)的攻擊行為進(jìn)行日志及報(bào)警并發(fā)送到管理控制臺(tái)。主要區(qū)別在于：

3、IDS類似于Sniffer Pro等協(xié)議分析或嗅探軟件的功能，放置于網(wǎng)絡(luò)關(guān)鍵點(diǎn)進(jìn)行協(xié)議數(shù)據(jù)檢查，一般采取旁路方式進(jìn)行協(xié)議數(shù)據(jù)的分析（例如利用端口鏡在交換機(jī)上分流共享到網(wǎng)絡(luò)關(guān)鍵入口的協(xié)議數(shù)據(jù)），將這獲得的協(xié)議數(shù)據(jù)與攻擊特征庫相比較，以確定是否發(fā)生攻擊行為。當(dāng)確認(rèn)發(fā)生網(wǎng)絡(luò)攻擊后，IDS可采取的動(dòng)作主要是日志、報(bào)警或向管理控制臺(tái)發(fā)送消息，較高級(jí)的是能與防火墻聯(lián)動(dòng)對(duì)正在進(jìn)行的攻擊進(jìn)行阻斷。 IPS是以串聯(lián)方式放置與防火墻后，或串入網(wǎng)絡(luò)主干對(duì)關(guān)鍵區(qū)域的流量進(jìn)行入侵防護(hù)，一般采取在線方式，所有流經(jīng)IPS的數(shù)據(jù)流量，IPS都可以加以控制，以終止對(duì)網(wǎng)絡(luò)的攻擊行為。將流經(jīng)的協(xié)議數(shù)據(jù)與攻擊特征庫相比較，識(shí)別針對(duì)網(wǎng)

4、絡(luò)的攻擊，并能終止攻擊的繼續(xù)進(jìn)行，根據(jù)預(yù)先設(shè)定對(duì)以類攻擊進(jìn)行記錄，對(duì)同樣的攻擊做出快速準(zhǔn)確的判斷與阻止。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用2 2、IDSIDS與與IPSIPS對(duì)檢測(cè)到的攻擊所采取的行動(dòng)對(duì)檢測(cè)到的攻擊所采取的行動(dòng) 對(duì)所接收到的或流經(jīng)的協(xié)議數(shù)據(jù)IDS或IPS都要進(jìn)行檢查，如果匹配特征庫中的某條時(shí)，就會(huì)根據(jù)設(shè)定，進(jìn)行如下可能的行動(dòng)（可以是一個(gè)或多個(gè)組合動(dòng)作）： 日志（Log）：記錄到系統(tǒng)日志或指定的數(shù)據(jù)庫中去，如上一個(gè)工作任務(wù)； 報(bào)警（Alert/Alarm）：可以利用向管理人員發(fā)出聲音、郵件或消息等報(bào)警信息； 重置（Rest）：對(duì)一些面向連接的協(xié)議如TCP，發(fā)送復(fù)位協(xié)議

5、數(shù)據(jù)包； 丟棄（Drop）：將協(xié)議數(shù)據(jù)包丟棄； 阻止（Block）：拒絕源地址的數(shù)據(jù)流量通過。 IDS屬于被動(dòng)設(shè)備，因?yàn)閿?shù)據(jù)流量不經(jīng)過IDS設(shè)備。當(dāng)檢測(cè)到攻擊時(shí)IDS發(fā)出警報(bào)給管理人員。IDS可以選用的動(dòng)作主要是：對(duì)后續(xù)的攻擊數(shù)據(jù)流量通過安全設(shè)備或路由器；或由IDS向攻擊的源發(fā)送TCP協(xié)議的復(fù)位數(shù)據(jù)包。 IPS屬于主動(dòng)設(shè)備，所有數(shù)據(jù)流量流經(jīng)IPS設(shè)備，一般IPS有多個(gè)接口（一般至少要有兩個(gè)接口，流量的入口與出口）。IPS可以拒絕攻擊流量的通過；可以把警報(bào)發(fā)到管理工作站。互聯(lián)網(wǎng)互聯(lián)網(wǎng)企業(yè)服務(wù)器區(qū)企業(yè)服務(wù)器區(qū)IDS傳感器傳感器互聯(lián)網(wǎng)互聯(lián)網(wǎng)企業(yè)服務(wù)器區(qū)企業(yè)服務(wù)器區(qū)IPS專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué)

6、以以 致致 用用3 3、IDSIDS與與IPSIPS的組合的組合 IPS可以主支阻斷認(rèn)為是攻擊的流量，但不應(yīng)該阻斷合法的數(shù)據(jù)流量，只是阻斷確認(rèn)為攻擊的流量，這需要進(jìn)行調(diào)整以免網(wǎng)絡(luò)連接的中斷。而IDS可以對(duì)IPS進(jìn)行有效的補(bǔ)充，可以檢測(cè)IPS是否工作，除認(rèn)為是正常流量外對(duì)其它流量認(rèn)為是可疑流量并進(jìn)行報(bào)警，可以對(duì)IPS沒有阻止的可能是攻擊的數(shù)據(jù)流量進(jìn)行標(biāo)識(shí)。 國(guó)內(nèi)產(chǎn)品專家對(duì)兩種產(chǎn)品的研討如下：IDS入侵檢測(cè)系統(tǒng)側(cè)重于全面檢測(cè)、記錄與警報(bào)，而IPS則更擅長(zhǎng)深層防御與精確阻斷。從應(yīng)用角度來看，低風(fēng)險(xiǎn)企業(yè)往往關(guān)注風(fēng)險(xiǎn)控制，對(duì)檢測(cè)與監(jiān)控和風(fēng)險(xiǎn)管理要求不高，此類企業(yè)選擇IPS產(chǎn)品即可；對(duì)金融、電信等高風(fēng)險(xiǎn)行

7、業(yè)，不僅關(guān)注風(fēng)險(xiǎn)控制，而且關(guān)注風(fēng)險(xiǎn)管理，這樣的企業(yè)既需要IDS，也需要IPS；對(duì)于一些監(jiān)管機(jī)構(gòu)/部門來說，往往更關(guān)注風(fēng)險(xiǎn)管理的檢測(cè)與監(jiān)控，監(jiān)督風(fēng)險(xiǎn)控制的改進(jìn)狀況，因此IDS是比較合適的產(chǎn)品。由于各行業(yè)客戶不同的應(yīng)用環(huán)境和實(shí)際需求，IDS和IPS 在國(guó)內(nèi)都呈現(xiàn)出繁榮發(fā)展的前景，因此二者之間的關(guān)系并非簡(jiǎn)單的升級(jí)和替代，長(zhǎng)期來看，IDS和IPS將出現(xiàn)共同發(fā)展、和平共存的局面。 目前國(guó)內(nèi)在信息安全行業(yè)中IDS與IPS產(chǎn)品較成熟的企業(yè)有啟明星辰、聯(lián)想網(wǎng)御和H3C，國(guó)外產(chǎn)品有Cisco、Juniper NetScreen、MCAFEE、Radware DefensePro等。關(guān)于網(wǎng)絡(luò)產(chǎn)品的信息可以查閱產(chǎn)品

8、介紹部分。 專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用4 4、IDSIDS與與IPSIPS對(duì)攻擊的檢測(cè)手段對(duì)攻擊的檢測(cè)手段 一種是基于攻擊簽名的（Signature-based）檢測(cè)方式，IDS或IPS設(shè)備廠商提供攻擊簽名數(shù)據(jù)庫，并可以從廠商處獲得對(duì)新的攻擊檢測(cè)條目的更新，這種方式與殺毒軟件所采取的方式類似。這種方式可能會(huì)產(chǎn)生錯(cuò)誤報(bào)告，如正常的測(cè)試或訪問行為可能會(huì)被認(rèn)為是攻擊，如利用帶有-t參數(shù)的Ping命令測(cè)試網(wǎng)絡(luò)連通性是可能會(huì)產(chǎn)生誤報(bào)。這種方式是對(duì)已知攻擊有效，需要一個(gè)攻擊的特征文件，并要不斷升級(jí)。 第二種是基于策略的（Policy-based）檢測(cè)方式，策略的定義與描述要先創(chuàng)建。這種

9、方式下，入侵檢測(cè)系統(tǒng)分為入侵檢測(cè)設(shè)備與管理控制端兩部分，入侵檢測(cè)設(shè)備負(fù)責(zé)數(shù)據(jù)的收集和分析，記錄日志信息，發(fā)現(xiàn)入侵行為時(shí)報(bào)警，安全管理端接收和處理報(bào)警信息，根據(jù)報(bào)警的相關(guān)設(shè)定按相應(yīng)的策略采取行動(dòng)，如與防火墻聯(lián)動(dòng)，并形成對(duì)此行為的新的規(guī)則庫（可以是填加的訪問控制到防火墻上，以后就可以由防火墻直接攔截）。這種方式下需要對(duì)入侵檢測(cè)與網(wǎng)絡(luò)管理進(jìn)行策略的協(xié)調(diào)，也需要一個(gè)策略數(shù)據(jù)庫。 第三種是基于異常的（Anomaly-based）檢測(cè)方式，在這種方式下要先定義哪些是正常的流量，即需要定義一個(gè)用戶的活動(dòng)范圍，對(duì)超出此范圍的情況則發(fā)出警報(bào)。當(dāng)然這需要構(gòu)建一個(gè)準(zhǔn)確的特征文件。這種方式的優(yōu)點(diǎn)是能夠檢測(cè)未公布的攻擊

10、行為。但是這種方式的缺點(diǎn)也很明顯，因?yàn)橛脩舻幕顒?dòng)有很大的隨機(jī)性，可能新的訪問方式或行為被認(rèn)為是攻擊而產(chǎn)生報(bào)警。這種方式下需要一個(gè)用戶正常行為的特征文件。 還有一種被稱之為密罐的（Honeypot）檢測(cè)方式，這種方式要先設(shè)置一臺(tái)主機(jī)，這臺(tái)主機(jī)盡可能多開啟服務(wù)，用于引誘攻擊者對(duì)這臺(tái)主機(jī)進(jìn)行掃描或探測(cè)，對(duì)攻擊者起到一個(gè)陷阱的作用，并與關(guān)鍵設(shè)備隔離，這樣可以使網(wǎng)絡(luò)管理者發(fā)現(xiàn)企圖對(duì)網(wǎng)絡(luò)發(fā)起攻擊的源頭。這種方式下需要在網(wǎng)絡(luò)關(guān)鍵位置部署一臺(tái)陷阱主機(jī)。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用5 5、思科的、思科的IDSIDS和和IPSIPS設(shè)備介紹設(shè)備介紹 下面對(duì)思科的IDS與IPS產(chǎn)品及解決方案加以介

11、紹，思科IDS與IPS產(chǎn)品的實(shí)現(xiàn)主要是對(duì)過路由器、防火墻和專用的思科IPS 4200系統(tǒng)探測(cè)器完成。（1）基于思科路由器IOS的入侵防御系統(tǒng)IPS 思科路由器IOS的IPS功能提供了一個(gè)在線的數(shù)據(jù)包檢測(cè)方案，在不影響路由器的性能的情況下提供對(duì)惡意流量識(shí)別、分類并阻止的能力。由IOS將報(bào)警發(fā)送到路由器內(nèi)部緩存、日志服務(wù)器、或控制臺(tái)。這對(duì)于中小型企業(yè)的網(wǎng)絡(luò)提供了一種基本的流量監(jiān)視，并能終止惡意的流量對(duì)內(nèi)部的攻擊。（2）防火墻集成IDS與IPS功能 思科在PIX防火墻和自適應(yīng)安全設(shè)備ASA內(nèi)集成成了在線的入侵檢測(cè)與入侵防御功能。PIX的5.2以上版本支持入侵檢測(cè)功能，ASA通過AIP-SSM模塊提供

12、此功能。（3）專用硬件IDS或IPS 專用的硬件可能是配置在路由器上的模塊，可以提供給思科的2600和3700系列路由器，或或用于多層交換機(jī)，如安裝到思科的Catalyst6500/7600的插槽中的模塊來提供IDS與IPS功能。 思科的IPS 4200系列探測(cè)器可以提供探測(cè)、分類和阻止各種攻擊威脅的能力。如思科的IPS 4240等。關(guān)于思科的同類新產(chǎn)品可以在網(wǎng)上獲取相關(guān)介紹。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用6 6、基于網(wǎng)絡(luò)、基于網(wǎng)絡(luò)IPSIPS與基于主機(jī)與基于主機(jī)IPSIPS 基于網(wǎng)絡(luò)IPS縮寫為NIPS，網(wǎng)絡(luò)探測(cè)器安裝到網(wǎng)段的主干，來監(jiān)視多臺(tái)主機(jī)的活動(dòng)。 基于主機(jī)IPS縮寫為

13、HIPS，每一臺(tái)主機(jī)上都安裝有管理軟件的代理程序。思科安全代理CSAs對(duì)主機(jī)進(jìn)行防御并報(bào)告給管理控制臺(tái)。HIPS為每個(gè)主機(jī)提供檢測(cè)與防御，HIPS不需要特殊的硬件。 在NIPS中，探測(cè)器是網(wǎng)絡(luò)入侵檢測(cè)分析設(shè)備，專用于入侵檢測(cè)分析。一個(gè)探測(cè)器連接到網(wǎng)段來監(jiān)視多臺(tái)主機(jī)，并提供保護(hù)，與HIPS不同，NIPS增加主機(jī)不必增加探測(cè)器，并且在一個(gè)網(wǎng)段添加探測(cè)器很容易。互聯(lián)網(wǎng)互聯(lián)網(wǎng)NIPSNIDSNIPS路由器路由器 防火墻防火墻管理服務(wù)器管理服務(wù)器企業(yè)服務(wù)器群企業(yè)服務(wù)器群專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用第二部分第二部分基于基于SDMSDM配置入侵防御技術(shù)配置入侵防御技術(shù)專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí)

14、 學(xué)學(xué) 以以 致致 用用1 1、思科、思科IOSIOS入侵防護(hù)系統(tǒng)入侵防護(hù)系統(tǒng)IPSIPS介紹介紹 思科IOS的IPS是帶IPS功能的路由器，即可升級(jí)支持IPS功能IOS的路由器。而IPS探測(cè)器是專門的IPS系統(tǒng)，如Cisco IPS 4200產(chǎn)品。思科路由器較新版本的IOS可以支持IPS功能，作為一個(gè)在線式的IPS探測(cè)器，可以監(jiān)控并檢測(cè)到1600多種常見攻擊，允許管理員手工修改已有的特征庫或新建特征庫來處理新發(fā)現(xiàn)的攻擊行為。它可以檢查穿越路由器的每個(gè)數(shù)據(jù)包，并與特征庫進(jìn)行模式匹配來發(fā)現(xiàn)異常流量，當(dāng)發(fā)現(xiàn)異常時(shí)，IOS的IPS對(duì)攻擊可以采取復(fù)位、丟棄或報(bào)警等方式對(duì)異常數(shù)據(jù)包進(jìn)行處理。并且可以通過

15、Syslog或安全設(shè)備事件交換SDEE（思科用于在IPS客戶端與IPS服務(wù)器端之間進(jìn)行消息交換的協(xié)議）等方式進(jìn)行報(bào)告?？梢耘渲肐OS中的IPS功能來啟用、禁用或設(shè)置特定的特征庫。 一般建議在路由器上同時(shí)啟用IOS防火墻和IPS功能以達(dá)到整體策略的部署。當(dāng)然啟用IPS功能對(duì)路由器的性能有影響，這主要與特征庫的數(shù)量有關(guān)。思科的IOS在12.3(8)T之前，內(nèi)建了132個(gè)特征在IOS軟件本身中，當(dāng)然也可以到思科網(wǎng)站下載新的特征庫文件。另外思科IOS的IPS可以使用SDF即特征定義文件來設(shè)置，IOS的IPS通過讀取SDF文件來識(shí)別每個(gè)特征。在SDM配置工具的安裝目錄下可以找到兩個(gè)特征文件，128MB.

16、sdf、256MB.sdf和attack-drop.sdf這幾個(gè)文件。在12.3(8)T之后的IOS路由器的閃存內(nèi)已經(jīng)有attack-drop.sdf這個(gè)文件了。 思科IOS的IPS可能使用內(nèi)建的特征庫也可以使用SDF文件，也可以同時(shí)使用兩種方式組合。而SDF文件分為靜態(tài)與動(dòng)態(tài)兩種，如attack-drop.sdf為靜態(tài)的，而128MB.sdf和256MB.sdf是動(dòng)態(tài)加載到內(nèi)存中的。可以對(duì)某一個(gè)特征進(jìn)行調(diào)整或禁用。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用2 2、利用、利用SDMSDM配置配置IOSIOS的的IPSIPS的規(guī)劃的規(guī)劃 在圖中所示的路由器上配置NIPS，利用SDM配置IOS

17、的IPS的規(guī)劃如下： 在如下圖所示的網(wǎng)絡(luò)中的路由器R1上配置IPS功能。首先要配置圖中路由器的基本功能，在一臺(tái)計(jì)算機(jī)A上安裝SDM軟件（當(dāng)然也可以使用CiscoWorks IPS MC配置IPS功能），如果沒有足夠的硬件路由器可以利用路由器模擬軟件進(jìn)行模擬，建設(shè)選用3660的路由器，需要注意的是選擇較新版本的IOS，并且在配置上把3660路由器的內(nèi)存改為128MB。使用SDM安裝目錄下的128MB.sdf（推薦給內(nèi)存大小為128MB的路由器使用）的特征定義文件作為IPS檢測(cè)用。在A主機(jī)上利用利用SDM連接路由器R1并進(jìn)行相應(yīng)的配置，以實(shí)現(xiàn)利用128MB.sdf特征定義文件進(jìn)行入侵防護(hù)。并配置檢

18、測(cè)報(bào)告方式為Syslog或SDEE方式，配置完成后償試進(jìn)行修改特征。 路由器與主機(jī)地址信息參見圖中所示：互聯(lián)網(wǎng)互聯(lián)網(wǎng)NIDSNIPS路由器路由器R1管理服務(wù)器管理服務(wù)器F0/0:As1/0專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用1 1、利用、利用SDMSDM配置配置IOSIOS的的IPSIPS的過程的過程 在圖中所示的路由器R1上配置NIPS，利用SDM配置IOS的IPS的步驟如下： 步驟1：對(duì)路由器進(jìn)行基本的配置，利用一臺(tái)安裝有SDM的計(jì)算機(jī)A登錄路由器R1； 步驟2：?jiǎn)?dòng)IPS規(guī)則向?qū)?，開始IPS的配置； 步驟3：選擇IPS要檢測(cè)的接口； 步驟4：指定

19、IPS的SDF文件的位置； 步驟5：結(jié)束配置向?qū)В⒗肧DM把配置命令發(fā)送到路由器中去； 步驟6：編輯IPS策略； 步驟7：查看全局設(shè)置，并進(jìn)行修改； 步驟8：簽名查看、設(shè)置與修改。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用 步驟1：對(duì)路由器進(jìn)行基本的配置，利用一臺(tái)安裝有SDM的計(jì)算機(jī)A登錄路由器R1，如右圖所示顯示，說明路由器的內(nèi)存不足，無法開啟IPS功能。根據(jù)SDM的提示：路由器至少具有128MB內(nèi)存才能運(yùn)行IPS。這時(shí)需要更大內(nèi)存的路由器或增加路由器的內(nèi)存。如果 是 利 用 路 由 器 模 擬 軟 件DynamipsGUI，在路由器配置中的內(nèi)存要調(diào)大于128MB，或修改已經(jīng)生成的路

20、由器的批處理文件，把”-r 96”改為”-r 128”或更大。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用步驟2：具備IPS功能和開啟條件的路由器利用SDM登錄后選擇入侵防御后，顯示如右圖所示界面。選擇啟動(dòng)IPS規(guī)則向?qū)Э梢蚤_始IPS的配置。點(diǎn)擊后出現(xiàn)提示信息“SDM將打開預(yù)訂，使路由器獲取SDEE事件”，說明IPS會(huì)把檢測(cè)到的警報(bào)等利用SDEE協(xié)議送到路由器。并且會(huì)要求進(jìn)行驗(yàn)證。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用正確輸入用戶名和口令后，IPS策略向?qū)?huì)提示IPS規(guī)則配置向?qū)Э梢耘渲迷诮涌谏系腎PS規(guī)則，并指定SDF文件的位置，需要指明檢測(cè)的方向，也可以指明對(duì)特定的通信進(jìn)行檢測(cè)。

21、專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用步驟3：選擇IPS要檢測(cè)的接口，根據(jù)前面規(guī)則的圖，這里可以選擇，F(xiàn)astEthernet0/0為出站接口，Serial1/0為入站接口。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用步驟4：指定IPS的SDF文件的位置。在選擇SDF文件位置時(shí)，選擇添加，在添加簽名位置處，可以選擇指定SDF flash或使用URL指定SDF（可以是FTP、HTTP或TFTP）。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用如圖所示是通過A主機(jī)上建立的TFTP服務(wù)器，將SDF指定到t/128MB.sdf處（要先將128MB.sdf復(fù)制到A主機(jī)

22、的TFTP服務(wù)器目錄下）。選擇自動(dòng)保存，會(huì)將其保存到路由器的flash中去。確定后點(diǎn)擊下一步專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用步驟5：結(jié)束配置向?qū)?，并利用SDM把配置命令發(fā)送到路由器中去。此處有13條命令被發(fā)送到路由器中去。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用步驟6：編輯IPS策略?？梢詫?duì)通過IPS配置向?qū)нM(jìn)行編輯與修改。如右圖所示，選擇FastEthernet0/0后，選擇編輯即可修改接口。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用步驟7：查看全局設(shè)置，并進(jìn)行修改。如圖所示可以編輯警報(bào)通知方式，圖中已經(jīng)啟用了Syslog和SDEE，也可以編輯修改SDF位置。專專 業(yè)

23、業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用步驟8：簽名查看、設(shè)置與修改。如圖所示可以編輯選定的簽名。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用對(duì)選定的簽名，選擇編輯，在出現(xiàn)的編輯簽名窗口中即可以進(jìn)行修改，修改前點(diǎn)擊前面的綠色方形，變?yōu)榧t色菱形，要恢復(fù)點(diǎn)此紅色菱形即可。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用也可以對(duì)一類簽名進(jìn)行控制，如禁用刪除等，也可以使用導(dǎo)入或添加簽名等操作。修改或編輯完后選擇下面的改動(dòng)生效即可。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用1 1、思科路由器、思科路由器IOSIOS的的IPSIPS故障安全處理故障安全處理 思科路由器IOS的IPS有fail-open能

24、力，當(dāng)IPS失效后，所有流量可通過。使用命令ips fail closed，可以改變IPS行為，發(fā)生故障后，丟棄所有數(shù)據(jù)包。路由器IOS的IPS可以配置多個(gè)特征集的備份位置，比如TFTP、Flash、HTTP等，如果在任何位置都找不到特征集文件，那么會(huì)啟用IOS內(nèi)置特征集數(shù)據(jù)庫。如果之前使用命令no ip ips sdf builtin，明確不允許使用內(nèi)置特征集數(shù)據(jù)庫的話，那么會(huì)執(zhí)行故障安全，默認(rèn)為fail-open (每分鐘產(chǎn)生對(duì)應(yīng)信息：%IPS-5-PACKET_UNSCANNED: IPS-fail open-packets passed) ，不建議將其修改為fail-close (每分

25、鐘產(chǎn)生對(duì)應(yīng)信息：%IPS-5-PACKET_DROP: IPS-fail closed-packets dropped)。如果某個(gè)特征無法加載，路由器忽略對(duì)應(yīng)特征的掃描，其它特征繼續(xù)工作。2 2、檢查修改某個(gè)特征觸發(fā)的動(dòng)作、檢查修改某個(gè)特征觸發(fā)的動(dòng)作 可以利用SDM或CiscoWorks IPS MC進(jìn)行修改。其中動(dòng)作設(shè)置包含：報(bào)警、丟棄、重設(shè)、拒絕攻擊者、拒絕數(shù)據(jù)流。3 3、利用、利用SDMSDM查看查看IPSIPS的的SDEESDEE消息消息 利用SDM連接到路由器后，即可以查看IPS的SDEE消息。專專 業(yè)業(yè) 務(wù)務(wù) 實(shí)實(shí) 學(xué)學(xué) 以以 致致 用用 4 4、CLICLI方式查看方式查看IPSIPS配置配置 R1# show runnning-config | beg