Cisco IOS IPS

Cisco IOS IPS:

对于发现危害，Cisco IOS IPS可作如下处理：

1.发送警告给系统日志服务器或者发送给集中化管理接口。

2.丢弃数据包。

3.重置连接。

4.在一段时间内阻止攻击者为源的IP流量。

5.在一段时间内阻止匹配签名的连接。

---------------------------------------

透明思科IOS IPS

透明的思科IOS IPS 设备在桥接接口上作为三层IPS使用。由于目前实施的透明防火墙不支持二层IPS功能，因此IPS只能作为三层设备运行。

----------------------------------------

透明桥接：

如果配置为桥接，思科IOS设备可以桥接任何数量的接口，设备能够完成基本的桥接功能，比如MAC地址学习来限制冲突域，以及运行STP。

在桥接时，用户能够配置集中化的路由桥接IRB，IRB允许设备桥接某些端口，而让三层桥接端口BVI来执行路由功能，桥接的网桥能够在基于二层MAC目的地或者三层IP地址来确定数据包是被桥接还是被路由。如果给BVI接口配置IP地址的话，尽管没有物理接口配置路由信息，但是仍然可以通过BVI上的ip地址来管理设备。

在同一台路由器上配置透明和不透明的IPS设备

由于透明IPS 设备使用BVI接口来支持路由，所以来自于桥接接口的数据包通过BVI接口能够被桥接出去或者是路由出去。这个特性使得透明IPS和不透明IPS在路由器上共存。透明IPS负责处理桥接来的数据包而不透明IPS负责处理路由过来的数据包。

用户也可以在同一设备上配置透明防火墙和透明IPS。

-----------------------------------------

IOS IPS的优点：

1.动态IPS签名

2.平行签名扫描

3.支持基于命名的或者是数字的扩展ACL

-----------------------------------------

签名定义文件SDF：Signature Definition File

SDF定义了它包含的每个签名，当签名被IOS IPS装载以后，IPS立即开始扫描新的签名。默认情况下，IOS里面是不包含任何签名的。下面有三种类型的签名供IOS IPS使用：

attack-drop.sdf 83个签名，少于128MB内存的路由器使用。

128MB.sdf 300个签名，128或更多的路由器使用。

256MB.sdf 500个签名，256或以上的路由器使用。

以上签名都可以用于12.4以后的所有思科接入路由器。如果Flash被清空的话，sdf文件也会被清空。

-----------------------------------------

注意：12.4T-9以后的IOS，不再使用128MB.sdf 而是使用.pkg的文件。其中，这些文件只适用于18/28/38等ISR路由器。

-----------------------------------------

配置透明IOS IPS桥接组：

注意：只有在需要配置透明防火墙的时候才配置桥接组。

BVI接口配置需求：

如果BVI没有被配置，必须先关闭IP Routing，这样桥接才能生效。

如果配置了BVI，BVI的IP地址必须和桥接的主机配置成同一网段。

如果有超过两个接口被放入桥接组中，必须配置BVI。

在VLAN Trunk中的桥接必须用802.1q封装，ISL不起作用。

限制：

如果超过两个以上的接口绑到一个桥接组里面的话，在桥接网络[桥接组中]中任何作为主机第一跳的网关必须允许ICMP time-to-live 超时消息通过。

如果集中化的路由桥接配置以后，STP BPDU和其他需要被路由出这个网桥的数据包不需要被检查INSPECT!

-------------------------------------------------

-------------------透明桥接配置------------------

1. enable

2. configure terminal

3. bridge bridge-group protocol {dec | ibm | ieee | vlan-bridge}

4. interface type number

5. bridge-group bridge-group

6. exit

7. bridge irb

8. bridge bridge-group route protocol

9. interface type number

10. ip address ip-address mask

11. no shutdown

-------------------------------------------------

-----------IPS 配置-----SDF-版本<<12.4T-9--------

1. enable

2. configure terminal

3. ip ips sdf location url

4. ip ips name ips-name [list acl]

5. ip ips signature signature-id [:sub-signature-id] {delete | disable | list acl-list}

6. ip ips deny-action ips-interface

7. interface type name

8. ip ips ips-name {in | out}

9. exit

10. show ip ips configuration

--------------------------------------------------

--------------IPS配置-----pkg-版本>>12.4T-9-------

1.创建IPS-Signature文件夹

   mkdir ips

2.粘贴Signature--rsa授权

3.保存配置

   write memory

4.开启IOS IPS特性

   1. 配置名称

       ip ips name iosips [acl] 可以选择跟随一个acl，凡是匹配ACL的就是用IPS检测其数据包，不匹配的，就放行

  

   2.配置Signature存储位置[存在第一步建立的文件夹里面]

        ip ips config location flash:ips

   3.配置警告信息通知

        ip ips notify sdee|log

   4.配置Signature策略             这里需要说明的是，对于Signature，必须一开始关闭所有的Signature，然后按照           下面的方法开启某些需要的Signature，否则路由器会因内存溢出而崩溃!

        ip ips signature-category

            category all

               retired true

                  exit

   5.开启某一项Signature检测

        比如：ios_ips

             category ios_ips basic

                 retired false

                 exit

         confirm change y!

   6.在接口上启用IPS

     interface e0/0

       ip ips iosips in|out

       exit

   6.加载pkg Signature文件

       copy tftp://199.1.1.1/IOS-S310-CLI.pkg idconf    注意：这里一定要加关键字idconf