《入侵检测与防御原理及实践（微课版）》 课件 CH3 CISCO IPS.pptx

商用入侵防御系统

CISCOIPS;目录;IPS的部署方式;Managementport

带外网管口，用于网管IPS，需要配置IP地址，有路由能力，管理流量（TELNET、HTTPS）从该接口进入

ConsoleportandAUXport：CLI命令行控制口

Ethernetport（业务接口）

Sensor口，监控接口，没有IP，没有路由能力，需要被监控的流量从此进入或流出。;PromiscuousMode（杂合模式，也叫侧挂式）

相当于IDS，阻断操作需要联动设备，且需要设备支持，目前思科IPS仅能联动思科设备，且需要设备支持。国产IDS也存在这种问题，如绿盟IDS，可以联动的设备仅有天融信与绿盟产品。

不能阻止初始化包（有可能初始化包就是一个攻击），也不能阻止一个连接，比较容易逃避检查。

优点是IDS对网络影响最小，即使IDS挂机不影响网络正常，业务流量即使超过IDS处理能力也仅仅只是放过这些流量不处理，不造成断网。;InlineMode（内联模式）

纯正的IPS。能够阻止触发包、后继数据包及所有源于该主机的报文，可以使用流量规范化技术，可减少或者消除网络逃避技术，也可有效阻止蠕虫。

缺点：会影响网络数据包的转发速率，减缓流量速度并增加延时。IPS一旦挂机将断网，且一旦流量超过了IPS的处理能力将对网络正常工作产生影响，且会影响对时间敏感的应用程序，如VOIP流量。;InlineMode（内联模式）

（1）接口对模式：2个嗅探接口组成接口对，数据包通过IPS的第1个接口进入，从第2个接口流出。

（2）VLAN对模式：该模式类似于接口对模式，具有扩展增强能力，能在物理接口上关联VLAN对。嗅探接口在VLAN对模式中作为802.1g中继端口，且IPS对中继端口上的VLAN对进行VLAN桥接。被VLAN对其中之一所接收的数据包将被分析，然后转发到其他配对VLAN。

（3）VLAN组模式：每个物理接口或内部接口都可分成为VLAN组子接口，每个特定的子接口上包含一组VLAN。VLAN组模式提供对同一传感器应用多个策略的能力。VLAN组模式允许传感器模拟多接口，传感器可以只有几个接口，但看上去拥有很多个接口。;注意：IPS处理流量是有限制的，IPS4240流量最大为250M。

IPS不太可能部署在流量巨大的核心网络，一般IPS会放在企业网络出口边界。;在边界上部署应该放在边界??备内部还是外部？

只要有钱，内外一起放！！！

一般情况只需要一个就足够了，而且推荐放在内部。因为如果外部放置可能会产生很多无用的告警，比如有攻击行为产生，可能该攻击行为在经过防火墙时被防火墙过滤掉

工作模式可根据企业需求进行选择，比如企业要求上网优先，可以选择侧挂式，若需求更安全则需选择在线模式。;部署阶段

1、实施阶段

购置IPS并将其按要求接入网络

sensor几乎是默认配置，没有任何更改

2、调整阶段

实施阶段结束后开始，并且会持续一段时间，可能在一两个月左右，通过不断地调整sensor来提高告警的准确性，减少误报和漏报。

网络复杂程度不同，时间也不同，需要了解网络流量

3、维护阶段

主要是升级IPS系统和更新SIG，这个阶段是永久持续的。;IPS调整是为了让IPS更适合用户网络，监控告警可以更准确地判断某一行为是否严重或造成网络安全影响，以便更好地保护网络。

调整前需了解网络：

（1）自身网络的情况，如拓扑、地址空间、操作系统和应用程序、安全策略等。

（2）需要保护的设备，如漏洞扫描程序、重要的服务器或设备等。

（3）特征库中所调整的Signature（特征，简称SIG）所监控的协议。

（4）区分网络中哪些是正常流量，哪些是异常流量。

调整方法：

（1）激活或禁用SIG

（2）修改SIG参数

（3）自定义SIG

（4）创建eventactionoverrides策略和eventactionfilters策略

;IPS初始化;GNS3安装及配置

设置语言（中文）

导入IOS镜像（R、SW、FW等的OS）;推荐用CLI命令配置基本的参数初始化IPS后，利用CiscoIPS设备管理器（IDM）以图形化界面来实现管理。;利用代码初始化

sensor#conft 进入配置模式

sensor(config)#servicehost 进入主机配置模式

sensor(config-hos)#network-settings 进入网络配置模式

sensor(config-hos-net)#host-nameIPS4215 设备命名

sensor(config-hos-net)#host-ip54/24, 配置管理地址、掩码及网关

sensor(config-hos-net)#telnet-opti