计算机网络安全技术与实施（旧） 电子课件 电子课件-任务4.2基于思科路由器的IOS入侵检测功能配置.pptVIP

专 业 务 实 学 以 致 用 计算机网络安全技术与实施 教学课件 学习情境4:任务4.2 基于思科路由器的IOS入侵检测功能配置 4.2 任务2-目录 4.2 任务2-基于思科路由器的IOS入侵检测功能配置 4.2.1 任务描述 4.2.2 引导文本 4.2.3 规划入侵检测与防护 4.2.4 实施入侵检测与防护 4.2.5 进行入侵检测与防护效果的检测 4.2.6 知识技能要点测评 学习情境4-任务2 企业园区网络 路由器 NIPS 防火墙 互联网 攻击者 具有入侵检测与防御功能的路由器与防火墙 HIPS 任务4.2 基于思科路由器的IOS入侵检测功能配置 4.2.1 工作任务描述（表） 学习情境 学习情境4-对入侵进行检测、审计与防护 建议课内学时 任务名称 工作任务2-基于思科路由器的IOS入侵检测功能配置 4学时（理论实践一体） 企业工作情境描述 目前企业对IDS入侵检测的认识还不够，所以应用也不是很广泛，很少使用专用的IDS设备，并且新的IPS入 侵防御系统的出现使得用户对这两种产品一直持观望态度，虽然此类产品已经在一些大的园区网络中得到应用，但并没有成熟的解决方案，但是作为一种主流技术，其发展是必然的，基本的实现原理不会有太大的变化。 工作任务分析 这个工作任务是在前面的工作任务已经对IDS有了理解以后，进一步理解IPS，并且利用Cisco的路由器中提 供的基于IOS的入侵防御功能进行利用与配置所以实现IPS功能。 任务目标 1、理解IDS与IPS的功能及区别； 2、学会部署IPS系统关键技术及IPS的安装位置； 3、学会利用Cisco的路由器中提供的基于IOS的入侵防御功能进行IPS配置，利用给定的特征文件实施IPS。 学习场境简化与转换设计与学习任务布置 场境简化与转换设计：在企业网络中的关键主机上配置入侵防御系统与入侵检测系统是有区别的，结构如右图所示，IDS一般采用旁路，而IPS是在线式的安装，以实现检测与防护。 学习任务布置：本任务在此网络环境中， 利用Cisco的路由器中提供的基于IOS的入侵防御功能进行IPS配置。 工具及软件选用 1、路由器模拟软件PT；2、路由器模拟软件DynamipsGUI。 参考资料手册 1、利用互联网搜索相关知识查询； 2、教材中的引导文本； 3、课程网站上的关于本部分的视频教程。 学习任务操作流程 操作流程参见下面的工作任务实施过程 4.2.2 引导文本 1、入侵检测与入侵防护比较 前面的工作任务主要是对入侵检测技术IDS的知识与实施方法的介绍，这里将对入侵检测IDS与入侵防护IPS进行相关知识的综合介绍，并加以区别。最后通过在思科路由器或PIX防火墙上利用SDM配置IPS完成入侵防护功能的规划与配置。 IDS与IPS都具有对攻击进行识别的能力，例如对网络与主机资源的非法访问或攻击等，也都可以将发现的攻击行为进行日志及报警并发送到管理控制台。主要区别在于： IDS类似于Sniffer Pro等协议分析或嗅探软件的功能，放置于网络关键点进行协议数据检查，一般采取旁路方式进行协议数据的分析（例如利用端口镜在交换机上分流共享到网络关键入口的协议数据），将这获得的协议数据与攻击特征库相比较，以确定是否发生攻击行为。当确认发生网络攻击后，IDS可采取的动作主要是日志、报警或向管理控制台发送消息，较高级的是能与防火墙联动对正在进行的攻击进行阻断。 IPS是以串联方式放置与防火墙后，或串入网络主干对关键区域的流量进行入侵防护，一般采取在线方式，所有流经IPS的数据流量，IPS都可以加以控制，以终止对网络的攻击行为。将流经的协议数据与攻击特征库相比较，识别针对网络的攻击，并能终止攻击的继续进行，根据预先设定对以类攻击进行记录，对同样的攻击做出快速准确的判断与阻止。 4.2.2 引导文本 2、IDS与IPS对检测到的攻击所采取的行动 对所接收到的或流经的协议数据IDS或IPS都要进行检查，如果匹配特征库中的某条时，就会根据设定，进行如下可能的行动（可以是一个或多个组合动作）： 日志（Log）：记录到系统日志或指定的数据库中去，如上一个工作任务； 报警（Alert/Alarm）：可以利用向管理人员发出声音、邮件或消息等报警信息； 重置（Rest）：对一些面向连接的协议如TCP，发送复位协议数据包； 丢弃（Drop）：将协议数据包丢弃； 阻止（Block）：拒绝源地址的数据流量通过。 IDS属于被动设备，因为数据流量不经过IDS设备。当检测到攻击时IDS发出警报给管理人员。IDS可以选用的动作主要是：对后续的攻击数据流量通过安全设备或路由器；或由IDS向攻击的源发送TCP协议的复位数据包。