CiscoSecureIPS-除了假善意告警.PDFVIP

Cisco Secure IPS -除了假善意告警 Contents Introduction Prerequisites Requirements Components Used Conventions 错误肯定和错误否定告警 Cisco Secure IPS排除机制 屏蔽主机 屏蔽网络 全局请禁用签名 Related Information Introduction 本文描述假善意告警排除Cisco Secure入侵防御系统(IPS)的。 Prerequisites Requirements There are no specific requirements for this document. Components Used 本文的信息根据Cisco Secure入侵防御系统(IPS)版本7.0和Cisco IPS管理器Express 7.0。 The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command. Conventions Refer to Cisco Technical Tips Conventions for more information on document conventions. 错误肯定和错误否定告警 当信息包一个特定信息包或顺序匹配已知攻击配置文件的特性在Cisco Secure IPS签名时，定义的 Cisco Secure IPS触发警报。重要IPS签名设计准则是使错误肯定和错误否定告警减到最小出现时间 。 假善意告警(良性触发器)发生，当IPS报告某一良性活动如有恶意。这要求人为干预诊断事件。很大 数量的假善意告警能极大排泄资源，并且要求的专门化的技能分析他们是昂贵和难查找。 当IPS不发现并且报告实际恶意活动，假攻击发生。此的后果可以是灾难的，并且必须不断地更新 签名，当发现新的检测安全漏洞代码和删改技术。使假攻击减到最小牺牲假善意告警更高的出现时 间产生一非常高优先权，有时。 由于IPS使用发现恶意活动签名的本质，完全地排除假善意告警和负的是几乎不可能的，无需严重 降低IPS的效果或严重打乱组织的计算基础设施(例如主机和网络)。定制的调整，当IPS配置时使假 善意告警减到最小。需要定期重新调节，当计算环境更改时(例如，当新的系统和应用程序被实施 )时。Cisco Secure IPS提供在稳定操作期间，能使假善意告警减到最小的一个灵活的调整的功能。 Cisco Secure IPS排除机制 Cisco Secure IPS提供功能排除一个特定签名从或到一台特定主机或网络地址。被排除的签名不生 成告警图标或日志记录，当他们从通过此机制特别地被屏蔽的主机或网络时被触发。例如，网络管 理位置也许通过运行查验清扫进行网络发现，触发与响应签名(签名ID 2100)的ICMP网络清除。如 果排除签名，您不必须分析警报和删除它，在网络发现过程运行时候。 屏蔽主机 完成这些步骤为了从生成一个特定签名告警屏蔽一台特定主机(IP原地址) ： 1. 选择Configuration Corp IPS 策略事件操作规定 rules0 ，并且点击事件操作过滤器选项。 2. 单击 Add 。 3. 键入过滤器名称、签名ID、攻击者的IPv4地址和动作减去在适当的域，然后点击OK键。 Note: 如果需 要从不同的网络屏蔽多个IP地址，您能使用逗号作为分隔符。然而，如果使用一个逗号，请在 逗号以后避免句尾空格;否则，您也许收到错误。Note: 另外，您在事件变量选项能使用被定义 的变量。当在多台事件操作过滤器时，必须重复同一值这些变量是有用的。您必须使用美元的 符号($)作为前缀到变量。变量可以是这些格式之一：充分的IP地址;例如， 10.77.23.23。IP地 址的范围;例如， 10.9.2.10-10.9.2.155。套IP地址的范围;例如，