思科IPS产品线安装部署指南V2.docx

1、思科IPS产品线安装部署指南V2思科IPS 设备配置部署简述目录1 概述 32 IPS 4200典型工作模式 42.1 IPS 4200 IDS 工作模式部署步骤 62.1.1 IDS 4200 IDS模式部署 图例 62.1.2 配置IPS初始化安装 62.1.3 配置业务承载交换机 72.1.4 配置IDM访问 82.1.5 配置IPS 4200软件升级 112.1.6 配置IPS 4200接口采集信息 152.1.7 配置IPS 4200与网络设备联动 162.1.8 配置IPS 4200与网络设备联动策略执行 192.1.9 观察IPS 4200联动效果 222.1.10 使用IEV管

2、理IPS 4200 222.2 IPS 4200 IPS 工作模式部署步骤 252.2.1 Inline 工作模式结构图 252.2.2 Inline模式配置步骤 263 NM-CIDS IDS部署步骤 293.1 NM-CIDS 模式部署 图例 313.2 安装NM-CIDS 313.3 初始化配置NM-CIDS 323.4 配置IDM访问 333.5 配置NM-CIDS软件升级 343.6 配置NM-CIDS接口采集信息 343.7 配置NM-CIDS与网络设备联动 343.8 观察NM-CIDS联动效果 344 IOS IPS部署步骤 344.1 ISR IOS IPS模式部署 图例 3

3、54.2 ISR IOS IPS部署概述 354.2.1 配置ISR路由器更新软件 354.2.2 配置ISR路由器SDF文件 354.2.3 配置ISR路由器启用IPS功能 364.2.4 检查配置 384.3 ASA/PIX IOS IPS部署概述 404.3.1 配置ASA/PIX防火墙启用IPS功能 404.3.2 检查配置 415 ASA AIP IPS部署步骤 425.1 配置AIP-IPS初始化安装 425.2 配置ASDM 访问IPS 436 C6K IDSM部署步骤 456.1 IDSM-2 Inline模式数据流图解 466.2 确认IDSM-2 模块 466.3 IDSM

4、-2 模块和Catalyst 6500 关联配置 486.4 IDSM-2 IPS 配置 497 CSA 主机IPS/IDS部署步骤 507.1 CSA 终端安全防护软件功能概述 507.2 CSA 5.1 安装需求 507.3 CSA 5.1 扩展功能总结 507.3.1 禁止客户端卸载CSA、关闭CSA、停止CSA服务 517.3.2 禁止客户端修改CSA安全级别 557.3.3 管理可移动介质的使用：光驱、软驱、U盘 578 IPS与MARS集成部署概要 581 概述 很多人在使用和配置IPS系列产品中遇到很多问题，甚至怀疑系列产品的功能及作用，其实这个产品的功能及特性勿庸置疑！只是如何

5、利用好这个强大的产品真正的帮助最终用户解决问题 才是目前的重点, 特此撰写一篇关于IPS实施部署指南的文章，供大家参加。内容中如果有错误或者疏漏请直接改正，或者通过带外方式直接联系我，希望和大家一起讨论。此文章均依照IPS 5.X 软件版本为标准起草。 目前我们IPS/IDS产品线 主要包含设备类型如下：1、 模块化产品：ASA上的AIP IPS模块、C6K上IDSM模块、路由器上NM- CIDS模块。2、 Appliance产品：IPS 42XX系列3、 集成式产品：路由器IOS 集成 IPS功能、ASA/PIX集成IPS功能4、 主机IPS/IDS产品：CSA 总体IPS策略： 在我们没有

6、推出高性能IPS解决方案之前，建议推荐我们更多的从IPS 设计部署理念入手、从强调我们IPS产品与网络中我们其他安全防护产品之间协作、互动等方面入手引导用户（这里才是我们目前真的优势所在，也是对用户来讲最最实用的功能所在），避免进入竞争对手的单纯强调设备性能的套路（当然这取决于项目前期的技术工作是否到位）。目前我们很多竞争对手强调IPS性能指标，其实是相对片面的，INLINE 模式高性能IPS部署 目前还有很多局限性 比如基于检测准确度 及误报等、自身的安全性问题等（建议可以从分析这些局限性入手 引导用户的思维）。最后着重值得强调的是：IPS比的并不是性能，比的就是攻击检测的准确性。IPS不是

7、用于普通用户流量或骨干线路的保护，应当放在关键运算资源前面进行防护。相对而言，攻击检测的准确度以及误报率是需要着重衡量的指标。 思科IPS 市场份额分析，据Q2CY06 全球统计，思科在IDS/IPS市场排第一位： Cisco 17.9 ISS 14.4 Symantec 13.4 3COM 10.8Junifer 7.8 希望可以通过部署实施文档，让更多的人了解思科IPS，并且让更多的人利用好我们这个强大的工具。 在使用思科IPS产品同时，请确保购买了相应的IPS特征码库升级服务，否则无法享受免费的更新操作。注明：设备在最初购买时 可以去HTTP:/WWW.CISCO.COM/GO/LICE

8、NSE申请两个月试用授权。这个授权只能免费申请一次，不能重复申请。因此再次强调大家应该注意尽早购买IPS 特征码升级服务。2 IPS 4200典型工作模式IPS/IDS功能如下： 我们现在大多安全产品均支持IPS/IDS两种特性，这取决与你在实施中把此设备放置于那种模式。IPS 产品的最大优点是可以在线的检测攻击及拦截攻击， 而我们IDS产品的虽然不能自身主动拦截攻击，但是其最大优点是可以与现网思科的网络基础设备联动，并且调度这些设备拦截攻击。IPS 4200 典型部署应用描述： 利用IPS 4200 支持多个检测接口的特性实现企业安全域防护，可以利用IPS 4200上面的监控接口连接至多个企

9、业业务承载交换机（OA网络、前置网络、核心交换网络），IPS 4200 接口就像伸出了多个触角监控企业各个安全区域内部的安全状况，一旦安全域（信任域、非信任域）内部发现恶意行为，可以配置IPS自动实现与网络中其他安全设备联动响应例如： 发现安全域中攻击行为后调用路由器资源进行网络边界防护及攻击的拦截； 与C6K设备联动利用VACL 对于安全域内部发现的攻击进行动态的防护拦截控制； 与ASA/PIX/FWSM联动 对于边界安全及核心安全区域进行保护。 总结：最大限度的利用IPS 4200 对于网络的安全域划分的全局可见性，与安全域中相应的网络安全设备实现联动，最终使得企业中现有网络安全设备互相配

10、合，为整个企业的安全域划分保驾护航！也是对于思科自防御网络的自适应安全理念的一个很好的诠释。IPS 4200 典型功能如下：1、IPS sensor自身的drop packet能力，当一个signature检测到攻击，在in-line的时候Action中可设置以下三种操作，对包进行丢弃： Deny Attacker Inline Deny Connection Inline Deny Packet Inline2、IDS与其他设备联动阻断攻击 ，即blocking 功能。sensor上有一个network access controller，控制相关联动设备的block动作，可以有三种bloc

11、k类型： Host blockBlocks all traffic from a given IP address. Connection blockBlocks traffic from a given source IP address to a given destination IP address and destination port. Network blockBlocks all traffic from a given network. 目前network access controller可支持的联动设备包括： cisco router catalyst 6500 PIX

12、/ASA/FWSM说明：其中router是用过ACL、交换机是通过VACL来实现阻断，而防火墙PIX/ASA/FWSM通过配置shun/no shun实现阻断。注意如果利用防火墙进行攻击的阻断，目前利用Host block实现。2.1 IPS 4200 IDS 工作模式部署步骤2.1.1 IDS 4200 IDS模式部署 图例说明：如上图所示 IPS 4240为例，IPS4240 配置于IDS模式监控及管理网络，配置IPS管理口单独作为管理接口使用，配置流量监控的四个流量捕捉接口分别连接关键的业务交换机，并且配置相应的业务交换SPAN 多个VLAN的流量发送给相应的IPS 4240的监控接口，

13、最后配置IPS 4240 与网络中处于相应位置的思科路由器、交换机、PIX/ASA/FWSM设备进行联动，最终实现攻击的在线拦截。下面将对于配置步骤作相应的说明和要点总结。2.1.2 配置IPS初始化安装配置步骤如下：1. 使用Console 方式连接IPS设备，并且对于设备完成初始化安装工作。-service hostnetwork-settingshost-ip 192.168.15.100/24,192.168.15.254 IDS 设备管理口地址对应Man0/0host-name IPS4240telnet-option enabledaccess-list 192.168.15.0/

14、24 定义管理网段exittime-zone-settingsoffset 8standard-time-zone-name beijingexit-service web-server 启动GUI 管理方式，方便利用GUI IDM管理工具管理enable-tls trueport 443exit-注意：为了保证网管的安全性，请尽量使用SSH方式对于IPS设备进行管理。2. 连接IPS 4200 四个流量监控接口至用户相应的关键业务承载交换机，比如：办公网交换机、数据中心业务交换机、网络前置交换机等。2.1.3 配置业务承载交换机配置步骤如下：注意：命令的语法会根据你的交换机特性及软件版本略有

15、区别。目前我们的路由器也支持SPAN功能，也可以结合利用。1、C4500交换机配置命令如下：连接相应的业务交换机，配置VLAN BASE SPAN 发送流量给IPS设备连接的流量接口。具体配置说明如下：monitor session 1 source vlan 110 , 135 , 140 , 150 说明：可以同时SPAN多个VLAN信息给监控接口，当让也可以配置接口直接SPAN。monitor session 1 destination interface Fa3/1 encapsulation dot1q2、C3750 交换机配置命令如下：monitor session 1 sourc

16、e vlan 70monitor session 1 destination interface Gi1/0/10 encapsulation replicate3、也可以配置交换机使用RSPAN引导流量进入监控端口说明：配置把SPAN的流量发送给IPS 4240连接的接口，注意这里配置了封装DOT1Q的操作，目的是 可以让IPS SENSOR发现攻击是从那个VLAN发现的，如果你不完成上述安装，在IPS报告中你将无法判断攻击事件与VLAN ID的对应关系。4、观察配置命令是否生效：C4503-SW05#sh monitor session 1Session 1-Type : Local Se

17、ssionSource VLANs : Both : 110,135,140,150Destination Ports : Fa3/1 Encapsulation : DOT1Q Ingress : Disabled Learning : Disabled2.1.4 配置IDM访问配置步骤如下： 1. 安装最新的JAVE虚拟机 1.5版本，并且调节JAVE内存至256M。方法：控制面板JAVA图标入下图操作对于JAVA RUNTIME参数进行如下修改。 2. 配置利用HTTPS:/X.X.X.X ：Port 访问IPS设备，其中IP地址就是你的IPS网管IP地址。如果你最开始配置时改变的网管的

18、端口，这里也需要填写相应的访问端口号。缺省使用443端口进行连接，即时你使用的80端口，所有的流量也是经过加密传输，必须强制要求你的IE浏览器安装JAVA虚拟机插件才可以正常的进行登陆访问。2.1.5 配置IPS 4200软件升级1. 配置IPS启用流量监控接口，进行流量采集。2. 配置IPS进行软件、补丁及授权信息、特征库进行更新A、配置IPS软件主版本号进行升级，注意目前最新版本可以升级至5.1.1，IPS-K9-min-5.1-1g.pkg 软件可以从思科WEB网站下载。注意如果用户目前使用4.0版本，则需要进行大版本号升级工作。相应的软件也可以从思科网站下载。注意进行大版本号和小版本号

19、软件相应升级后需要重启IPS设备；进行授权更新及IPS特征库升级时无需重启IPS设备。B、配置IPS软件小版本号进行升级，注意目前最新版本可以升级至SP 5.1.4，IPS-K9-sp-5.1-4.pkg软件可以从思科WEB网站下载。C、配置IPS进行授权信息升级，注意目前如果你还没有签订IPS SIGINITURE升级服务，则只能去思科网站利用你的IPS主机序列号 申请60天的试用授权，这种试用版授权只能申请一次，因此建议购买IPS 信息库升级授权。说明：这里可以直接上网更新申请，也可以下载授权到机器本地，从本地直接读取授权文件，注意必须读取授权文件后，你才能升级IPS特征库。D、配置IPS

20、 特征库进行升级，注意目前最新版本IPS-sig-S259-minreq-5.1-2.pkg软件可以从思科WEB网站下载。这次升级无需重启。2.1.6 配置IPS 4200接口采集信息2.1.7 配置IPS 4200与网络设备联动说明：联动方法有三种，与PIX/ASA/FWSM通过SHUN联动，与C6K 通过VACL联动，与路由器通过ACL进行联动。下面主要以与PIX/ASA/FWSM通过SHUN命令远程利用防火墙进行联动为例说明：1、 配置设备LOGIN PROFILE，这里需要配置你希望进行联动的设备访问方式。必须提供登陆用户名、密码以及ENABLE密码。2、 配置设备Blocking 设

21、备菜单，这里需要配置你希望进行联动的设备的IP地址，以及设备的类型，并且需要引用刚才指定好的模板。以与防火墙联动配置如下：2.1.8 配置IPS 4200与网络设备联动策略执行1、 一种简单的配置方式，可以单独调节SIGNATURE 的执行策略，进行联动配置。这样子配置的好处是：可以针对用户的需求来配置联动，避免由于误报产品不必要的拦截。2、 另外一种简单的配置方式，可以单独调节RR 进行执行策略，进行联动配置。这样子配置的好处是：可以统一指定执行策略，避免单独调节特性的特征库行动。3、 配置不拦截网段， 作用：在用户关键业务网段，即使发现攻击由关键业务主机发起，也不要对于这些关键业务设备的I

22、P地址进行拦截。4、 配置设备IP地址被拦截后，中断的时间。2.1.9 观察IPS 4200联动效果1、在IDM监控界面观察。注意：你可以选择删除以便接触拦截工作，也可以观察相应的拦截原因。2、 在联动网络设备上观察。BJ-FW-PIX525# sh shun statistics outside=ON, cnt=10untrust=OFF, cnt=0inside=OFF, cnt=0dmz=OFF, cnt=0dmz1=OFF, cnt=103Shun 207.5.236.75 cnt=0, time=(0:23:26)Shun 211.244.158.62 cnt=0, time=(0:

23、04:01)BJ-FW-PIX525#2.1.10 使用IEV管理IPS 42001、 配置IEV 添加IPS管理地址。2、 IEV报表查看2.2 IPS 4200 IPS 工作模式部署步骤2.2.1 Inline 工作模式结构图2.2.2 Inline模式配置步骤1、开启IPS 接口2、创建IPS Inline 模式的interface pair,指定inside 和outside 接口.3、分配接口到 virtual sensor4、在Inline 模式中,配置特定signature的Inline 行为.5、开启Bypass 功能,用于IPS 出现故障时,数据业务不出现中断.6,攻击拦截功

24、能Reset TCP Connection3 NM-CIDS IDS部署步骤 部署说明：NM-CIDS 只能工作再IDS模式，不能配置成为IPS模式使用。NM-CIDS不支持桥接接口。 NM-CIDS虽然不是一个标准的IPS设备，但是可以实现很多类似的功能，比如检测到恶意行为穿过路由器时，马上可以和网络设备联动推送动态ACL并且可以实现SESSION RESET等操作。 NM-CIDS可以与思科ISR等路由器搭配作为强化边界安全的一个主力特性使用。NM-CIDS模块配置简单，可以与网络设备进行联动，同时配合ISR路由器IOS IPS（目前IPS 650特征库）功能可以使设备识别攻击、拦截攻击的

25、能力大幅度强化，同时利用NM-CIDS（目前1200IPS 特征码支持）的信息发送给IPS网管软件IEV，以及思科安全网管MARS可以更加有效的帮助网络管理员在网络边界有效的隔离攻击时间，同时了解网络的威胁，如果结合ISR 路由器软件集成的NETFLOW功能配合MARS一起使用将会有更好的边界防御效果。 支持思科C2600, 2800, 3600, 3700, and 3800 全线路由器。C2800, 3700, 3800 Up to 45 Mbps性能。 Five hundred new TCP connections per second Five hundred HTTP transa

26、ctions per second3.1 NM-CIDS 模式部署 图例注意：NM-CIDS没有外部的Console接口，NM-CIDS模块上面的接口使提供网管操作使用的，例如 更新软件、特征码库、监控信息传递、IDM及IEV等GUI界面网管访问使用。注意此时：模块上面的管理接口可以连接至公司的网管VLAN，以便保证设备的安全性。这点与其他IPS设备的网管接口连接方式完全类似。3.2 安装NM-CIDS 首先，安装NM-CIDS进入ISR路由器槽位。然后依次执行下面的命令完成对于模块的初始化安装工作。1、 首先通过命令确认你的模块是否安装完毕，并且获取模块所处相应槽位信息。 router #

27、show interfaces ids-sensor slot_number/0 请填写相应NM-CIDS所在槽位号。可以利用Show run 命令观察所在槽位。2、 开启路由器CEF 功能 router# configuration terminal router(config)# ip cef 3、 为NM-CIDS Sensor接口指定IP地址router(config)# interface ids-sensor 1/0router(config-if)# ip unnumbered loopback 0 注意：可以自己另外设定地址，我们这里使用路由器已有Loopback地址。4、 开

28、启路由器Sensor接口 router(config-if)# no shutdown3.3 初始化配置NM-CIDS 1、 登陆NM-CIDS模块 router# service-module ids-sensor X/0 session Trying 10.16.0.0, 2033 . Open X 是NM-CIDS模块在ISR路由器中所处的槽位。 可以利用Ctrl-Shift-6 X 推出NM-CIDS管理模式。2、 完成NM-CIDS模块的初始化工作-service hostnetwork-settingshost-ip 172.16.0.10, 172.16.0.4 IDS 设备外部

29、管理口地址对应Man0/0host-name nm-cidstelnet-option enabledaccess-list 192.168.15.0/24 定义管理网段exittime-zone-settingsoffset 8standard-time-zone-name beijingexit-service web-server 启动GUI 管理方式，方便利用GUI IDM管理工具管理enable-tls trueport 443exit-注意：为了保证网管的安全性，请尽量使用SSH方式对于IPS设备进行管理。3. 连接NM-CIDS 模块外部接口至相应的网管VLAN承载交换机，以便后

30、面进行软件升级时使用。3.4 配置IDM访问配置步骤如下： 1. 安装最新的JAVE虚拟机 1.5版本，并且调节JAVE内存至256M。方法：控制面板JAVA图标入下图操作对于JAVA RUNTIME参数进行如下修改。 2. 配置利用HTTPS:/X.X.X.X ：Port 访问IPS设备，其中IP地址就是你的IPS网管IP地址。如果你最开始配置时改变的网管的端口，这里也需要填写相应的访问端口号。缺省使用443端口进行连接，即时你使用的80端口，所有的流量也是经过加密传输，必须强制要求你的IE浏览器安装JAVA虚拟机插件才可以正常的进行登陆访问。3.5 配置NM-CIDS软件升级3.6 配置NM-CIDS接口采集信息1、在路由器上面配置流量映射：C3845(config)# interface G0/0进入你想进行流量监控的路由器接口配置模式C3845(config-if)# ids-service-module monitoring配置接口进行流量监控 2、在NM-CIDS上面配置启用SENSOR：3.7 配置NM-CIDS与