实训指导基于思科路由器的IOS入侵检测功能配置CLI教案.pptVIP

附：配置案例 任务1：使能IOS的IPS功能 注意：在PT里，路由器已经把signature文件导入到位了，这些文件默认为存入在FLASH中的xml文件。所以，这里不需要再配置公钥和手动导入signature文件了（如果是在真实设备中没有此文件，可以通过TFTP等方式上传上去）。 第一步：检查网络连通性 从PC-C去Ping到PC-A应该是成功连通的 从PC-A去Ping到PC-C应该是成功连通的 第二步：在FLASH中创建一个IOS的IPS配置目录 在R1上用MKDIR命令在FLASH内创建目录，目录名为“ipsdir” R1#mkdir ipsdir Create directory filename [ipsdir]? Enter Created dir flash:ipsdir 第三步：配置IPS的signature存放位置 在R1上，配置IPS的signature存放位置为上一步创建的目录 R1(config)#ip ips config location flash:ipsdir 附：配置案例 第四步：建立一条IPS rule，即IPS的检测规则 在R1上，配置IPS的rule为在全局下用ip ips name iosips。其中IPS的规则名为iosips R1(config)# ip ips name iosips 第五步：开启日志功能 IOS的IPS支持syslog来发送事件通知，日志通知功能默认为开启状态，如果logging console是使能状态，可以看到IPS的syslog消息。 如果日志SYSLOG没有使能，可以将其使能或说开启 R1(config)# ip ips notify log 根据需要，在特权模式下前往clock set命令设置时间等信息。 R1# clock set 01:20:00 6 january 2009 检查路由器对于日志的timestamp service是否已经开启，可以用show run命令查看，如果时间戳服务没有开启要将其开启。 R1(config)# service timestamps log datetime msec 发送日志消息到日志服务器，Syslog server的IP地址为0 R1(config)# logging host 0 附：配置案例 第六步：配置IOS的IPS所使用的signature类别 使用retired true命令退订所有签名类（在signature库中的所有signatures将被释放掉）。使用retired false命令引用ios_ips基本signature。 R1(config)# ip ips signature-category R1(config-ips-category)# category all R1(config-ips-category-action)# retired true R1(config-ips-category-action)# exit R1(config-ips-category)# category ios_ips basic R1(config-ips-category-action)# retired false R1(config-ips-category-action)# exit R1(config-ips-cateogry)# exit Do you want to accept these changes? [confirm] Enter 第七步：应用IPS规则到接口上去 应用IPS规则Rule到接口的命令是在接口模式下执行ip ips name direction命令。本任务中应用规则在到R1中由器的Fa0/0的出站outbound方向上。在开启IPS后,一些日志消息会被发送到命令行的控制台上，表明IPS引擎被初始化完成。 注意：方向如果是IN，那么表示IPS只检查进入此接口的流量。同样，方向如果是OUT，那么表示IPS只检查从此接口流出的数据流量。 R1(config)# interface fa0/0 R1(config-if)# ip ips iosips out 附：配置案例 任务2：修改特征Signature 第一步：改变特征Signature的事件动作event-action 选订echo request signature(signature 2004, subsig ID 0),使用此特征并改变signature动作为alert和drop。 R1(config)# ip ips signature-definition R1(config-sigdef)# signature 2004 0 R1(config-sigdef-sig)# status R1(