C6K IDSM部署文档格式.docx

C6K IDSM部署文档格式.docx

《C6K IDSM部署文档格式.docx》由会员分享，可在线阅读，更多相关《C6K IDSM部署文档格式.docx（10页珍藏版）》请在冰豆网上搜索。

intrusion-detectionmodule6management-portaccess-vlan36第三步配置VACL把需要捕获的流量导入IDSM-2模块.例如:

access-list100permittcpany10.1.1.00.0.0.255eq80access-list101permitipanyany注意:

实例是捕获所有的目的地到192.168.1.0Web流量,所有其他流量都正常发送.假如ACL101没有定义,所有流量将被丢弃.第四步配置路由器使用VlanAccess-map捕获ACL100,bypassACL101流量:

例如:

vlanaccess-mapIDSM-210matchipaddress100actionforwardcapturevlanaccess-mapIDSM-220matchipaddress101actionforward第五步配置路由器的VLANFilter:

Router（config）#vlanfiltervlan-list例如:

vlanfilterIDSM-2vlan-list1-10,36,124第六步配置IDSM-2模块接受特定VLAN的捕获包（把VLAN和Sensing接口对应）Router（config）#intrusion-detectionmoduledata-portcaptureallowed-vlan例如:

intrusion-detectionmodule6data-port1captureallowed-vlan1-10,36,124第七步最后,你必须开启Sensing接口,接收捕获的包:

Router（config）#intrusion-detectionmoduledata-portcapture例如:

intrusion-detectionmodule6data-port1capture主要命令的全部输出:

intrusion-detectionmodule6management-portaccess-vlan36intrusion-detectionmodule6data-port1captureintrusion-detectionmodule6data-port1captureallowed-vlan1-10,36,124!

vlanaccess-mapIDSM-210matchipaddress100actionforwardcapturevlanaccess-mapIDSM-220matchipaddress101actionforward!

vlanfilterIDSM-2vlan-list1-10,36,124!

access-list100permittcpany10.1.1.00.0.0.255access-list101permitipanyany下面的方法是通过SPAN代替VACL捕获数据包到IDSM-2模块:

第一步和第二步相同.第三步:

配置SPAN源端口或VLAN:

Router（config）#monitorsessionsourceinterface|vlanrx|tx|both例如:

monitorsession2sourcevlan10第四步:

配置IDSM-2端口作为SPAN的目的:

Router（config）#monitorsessiondestinationintrusion-detection-moduledata-port例如:

monitorsession2destinationintrusion-detection-module2data-port1注意（可选）:

假如源SPAN端口是Trunk端口,SPAN会话仅能看到某些从Trunk端口来的VLAN.命令如下:

Router（config）#monitorsessionfiltervlan1.4IDSM-2配置配置使用Console方式连接IDSM2设备，并且对于设备完成初始化安装工作。

#setup进行配置。

-servicehostnetwork-settingshost-ip192.168.15.100/24,192.168.15.254IDS设备管理口地址对应Man0/0host-nameIPS4240telnet-optionenabledaccess-list192.168.15.0/24定义管理网段exittime-zone-settingsoffset8standard-time-zone-namebeijingexit-serviceweb-server启动GUI管理方式，方便利用GUIIDM管理工具管理enable-tlstrueport443exit-注意：

为了保证网管的安全性，请尽量使用SSH方式对于IPS设备进行管理。

1.5配置配置IDM访问访问配置步骤如下：

1.安装最新的JAVE虚拟机1.5版本，并且调节JAVE内存至256M。

方法：

控制面板JAVA图标入下图操作对于JAVARUNTIME参数进行如下修改。

2.配置利用HTTPS:

/X.X.X.X：

Port访问IPS设备，其中IP地址就是你的IPS网管IP地址。

如果你最开始配置时改变的网管的端口，这里也需要填写相应的访问端口号。

缺省使用443端口进行连接，即时你使用的80端口，所有的流量也是经过加密传输，必须强制要求你的IE浏览器安装JAVA虚拟机插件才可以正常的进行登陆访问。

1.6使用使用IEV管理管理IDSM1、配置IEV添加IDSM管理地址。

2、IEV报表查看2C6KIDSMSignatureIDSM支持大约1000中内置的Signature。

部署IDSM关键是优化这些Signature。

思科建议初次部署IDSM时,将所有的Signature全部打开,启动检测功能,在网络稳定运行一段时间之后,在根据网络上各种应用类型,流量的模式逐步细化和优化这些Signature。

而且,每两个星期左右,要检查思科网站上是否有最新的Signature需要更新。

应该做到及时更新Signature。

同时,在遇到有网络入侵攻击时要按照中行预先制定好应急策略和步骤,及时应对,确保中行的业务和办公系统正常运行。

3参考参考URLhttp:

/http:

/