C6K IDSM部署文档格式.docx
《C6K IDSM部署文档格式.docx》由会员分享,可在线阅读,更多相关《C6K IDSM部署文档格式.docx(10页珍藏版)》请在冰豆网上搜索。
intrusion-detectionmodule6management-portaccess-vlan36第三步配置VACL把需要捕获的流量导入IDSM-2模块.例如:
access-list100permittcpany10.1.1.00.0.0.255eq80access-list101permitipanyany注意:
实例是捕获所有的目的地到192.168.1.0Web流量,所有其他流量都正常发送.假如ACL101没有定义,所有流量将被丢弃.第四步配置路由器使用VlanAccess-map捕获ACL100,bypassACL101流量:
例如:
vlanaccess-mapIDSM-210matchipaddress100actionforwardcapturevlanaccess-mapIDSM-220matchipaddress101actionforward第五步配置路由器的VLANFilter:
Router(config)#vlanfiltervlan-list例如:
vlanfilterIDSM-2vlan-list1-10,36,124第六步配置IDSM-2模块接受特定VLAN的捕获包(把VLAN和Sensing接口对应)Router(config)#intrusion-detectionmoduledata-portcaptureallowed-vlan例如:
intrusion-detectionmodule6data-port1captureallowed-vlan1-10,36,124第七步最后,你必须开启Sensing接口,接收捕获的包:
Router(config)#intrusion-detectionmoduledata-portcapture例如:
intrusion-detectionmodule6data-port1capture主要命令的全部输出:
intrusion-detectionmodule6management-portaccess-vlan36intrusion-detectionmodule6data-port1captureintrusion-detectionmodule6data-port1captureallowed-vlan1-10,36,124!
vlanaccess-mapIDSM-210matchipaddress100actionforwardcapturevlanaccess-mapIDSM-220matchipaddress101actionforward!
vlanfilterIDSM-2vlan-list1-10,36,124!
access-list100permittcpany10.1.1.00.0.0.255access-list101permitipanyany下面的方法是通过SPAN代替VACL捕获数据包到IDSM-2模块:
第一步和第二步相同.第三步:
配置SPAN源端口或VLAN:
Router(config)#monitorsessionsourceinterface|vlanrx|tx|both例如:
monitorsession2sourcevlan10第四步:
配置IDSM-2端口作为SPAN的目的:
Router(config)#monitorsessiondestinationintrusion-detection-moduledata-port例如:
monitorsession2destinationintrusion-detection-module2data-port1注意(可选):
假如源SPAN端口是Trunk端口,SPAN会话仅能看到某些从Trunk端口来的VLAN.命令如下:
Router(config)#monitorsessionfiltervlan1.4IDSM-2配置配置使用Console方式连接IDSM2设备,并且对于设备完成初始化安装工作。
#setup进行配置。
-servicehostnetwork-settingshost-ip192.168.15.100/24,192.168.15.254IDS设备管理口地址对应Man0/0host-nameIPS4240telnet-optionenabledaccess-list192.168.15.0/24定义管理网段exittime-zone-settingsoffset8standard-time-zone-namebeijingexit-serviceweb-server启动GUI管理方式,方便利用GUIIDM管理工具管理enable-tlstrueport443exit-注意:
为了保证网管的安全性,请尽量使用SSH方式对于IPS设备进行管理。
1.5配置配置IDM访问访问配置步骤如下:
1.安装最新的JAVE虚拟机1.5版本,并且调节JAVE内存至256M。
方法:
控制面板JAVA图标入下图操作对于JAVARUNTIME参数进行如下修改。
2.配置利用HTTPS:
/X.X.X.X:
Port访问IPS设备,其中IP地址就是你的IPS网管IP地址。
如果你最开始配置时改变的网管的端口,这里也需要填写相应的访问端口号。
缺省使用443端口进行连接,即时你使用的80端口,所有的流量也是经过加密传输,必须强制要求你的IE浏览器安装JAVA虚拟机插件才可以正常的进行登陆访问。
1.6使用使用IEV管理管理IDSM1、配置IEV添加IDSM管理地址。
2、IEV报表查看2C6KIDSMSignatureIDSM支持大约1000中内置的Signature。
部署IDSM关键是优化这些Signature。
思科建议初次部署IDSM时,将所有的Signature全部打开,启动检测功能,在网络稳定运行一段时间之后,在根据网络上各种应用类型,流量的模式逐步细化和优化这些Signature。
而且,每两个星期左右,要检查思科网站上是否有最新的Signature需要更新。
应该做到及时更新Signature。
同时,在遇到有网络入侵攻击时要按照中行预先制定好应急策略和步骤,及时应对,确保中行的业务和办公系统正常运行。
3参考参考URLhttp:
/http:
/