完整演示:思科IPS旁路模式的部署

简介:

演示目标:部署思科IDS/IPS的旁路模式

演示环境:如下图5.7所示,

演示背景:在如图5.7所示的环境中,将IPS192.168.101.2部署为旁路模式,配置它可以被IDM主机192.168.101.3进行图型化配置与管理,IPS的G0为网管接口(也就是通常所说的command接口,G1为监控接口也就是sensor接口,配置交换机S1的网络管理地址为192.168.101.1,要求IPS的sensor接口处于旁路模式中,监控VLAN2主机A和B的流量。

演示步骤:

第一步:配置交换机,按照演示环境图5.7为交换机规划VLAN,为交换机配置管理接口VLAN1的ip地址是192.168.101.1/24。因为演示环境中思科的入侵检测设备采用的是旁路模式,所以必须为交换机配置端口镜像以协同传感器工作,端口镜像要求将交换机fa0/1和fa0/2接口流量镜像到fa0/3(连接IPS设备sensor)的接口。交换机上的具体配置如下所示:


s1#vlan database   * 进入Vlan数据库配置模式

s1(vlan)#vlan 2 namev2 * 建立Vlan2并命名为V2

VLAN 2 added:      * 系统提示Vlan2添加成功,名称为v2。

   Name: v2


s1(config)#interfacefastEthernet 0/1  * 进入交换机的fa0/1接口配置模式。

s1(config-if)#switchportaccess vlan 2 * 将该接口规划到VLAN2中

s1(config-if)#noshutdown


s1(config)#interfacefastEthernet 0/2

s1(config-if)#switchportaccess vlan 2

s1(config-if)#noshutdown

s1(config-if)#exit


s1(config)#interfacefastEthernet 0/3

s1(config-if)#switchportaccess vlan 2

s1(config-if)#noshutdown

s1(config-if)#exit


s1(config)#interfacevlan 1   * 进入交换机的管理接口,默认为vlan1

s1(config-if)#ipaddress 192.168.101.1 255.255.255.0 * 为管理接口配置IP地址。

s1(config-if)#noshutdown

s1(config-if)#exit


s1(config)#monitorsession 1 source interface fastEthernet 0/1

s1(config)#monitorsession 1 source interface fastEthernet 0/2

配置交换机端口镜像技术的镜像来源端口,在该实验中是fa0/1和fa0/2。


s1(config)#monitorsession 1 destination interface fastEthernet 0/3

配置交换机端口镜像技术的镜像目标端口,在该实验中是fa0/3(连接IPS的接口)。

第二步:使用IDM配置思科的IPS传感器为旁路模式,在使用IDM配置传感器之前,必须保证已经完成了传感器的初始化配置,关于传感器的初始配置请参看项目四的任务三,在这里就不再重复描述,在初始配置完成后,现在可以正式配置IPS的G1接口为旁路模式,首先是在IDM中的interface下启动G1接口,如下图5.8所示。

   然后在virtualSensor (VS0)中将G1接口关联到Virtual Sensor 0并Assign该接口,具体如下图5.9所示,完成配置后,可以在如下图5.10中看到旁路接口与VS关联后的显示最后在interface configuration选项卡下的Summary可以查看到IPS的G1接口的配置状态,可看到该接口与Virtual Sensor 0关联并处于旁路模式,如下图5.11所示。

   

第三步:完成上述的配置后,您当前IPS的旁路模式就配置完成,此时需要检测IPS是否开始检查流量、是否能成功的触发signature。你可以在VLAN2主机A ping主机B,但是在ping之前,你必须在signature中enable signature ID 2000和2004这两个签名分别指示ICMP的请求与应答,在思科专业级的IPS系统上,为了减少不必要的告警信息,在默认情况下它是被disable的,所以你必须enable它们,这与项目三中基于IOS或者PIX防火墙的签名不一样,在IOS和PIX防火墙上这两个签名默认是被启动的。启动它的方法如下图5.12所示,通过搜索sigID的方式,找到2000和2004的签名,然后分别点击enable,并应用配置。

在正确完成上述的配置后,主机ABping应该能够被旁路模式下的IPS所记录,然后,可以通过查看最近一小时或者最近一分钟的events看到主机AB触发的签名事件,这表示旁路模式中的IPS成功的开始检查数据流量。





本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1286813,如需转载请自行联系原作者
相关文章
|
4月前
|
安全 算法 网络安全
案例 | 防火墙华为与Fortine对接,以ISAKMP方式建立IPSec隧道。
案例 | 防火墙华为与Fortine对接,以ISAKMP方式建立IPSec隧道。
|
7月前
|
安全 网络协议 5G
华为WLAN 配置攻击检测功能示例
华为WLAN 配置攻击检测功能示例
|
7月前
|
网络协议 安全 网络安全
二层交换机与防火墙对接上网配置示例
二层交换机指的是仅能够进行二层转发,不能进行三层转发的交换机。也就是说仅支持二层特性,不支持路由等三层特性的交换机。 二层交换机一般部署在接入层,不能作为用户的网关
112 0
|
7月前
|
网络协议 网络安全 网络虚拟化
三层交换机与防火墙对接上网配置示例
三层交换机是具有路由功能的交换机,由于路由属于OSI模型中第三层网络层的功能,所以称为三层交换机。 三层交换机既可以工作在二层也可以工作在三层,可以部署在接入层,也可以部署在汇聚层,作为用户的网关。
121 0
如何处理“WLAN没有有效的IP配置”这一问题?
如何处理“WLAN没有有效的IP配置”这一问题?
431 0