Cisco ASA

Материал от Xgu.ru

Ако смятате, че си струва да финализирате възможно най-скоро, моля, кажете го.


Тази страница описва как да конфигурирате IPS на Cisco ASA.

Съдържание

[редактиране] Обща информация

Въпреки че AIP-SSM има само един сензорен интерфейс, той все още може да анализира трафика в вграден режим.

ASA изпраща пакети за AIP-SSM анализ непосредствено преди пакета да напусне изходящия интерфейс (или преди криптиране, ако е конфигуриран) и след прилагането на други правила на ASA.

[редактиране] Конфигуриране на ASA за изпращане на трафик за IPS анализ

ASA може да изпраща трафик за AIP SSM анализ в два режима:

  • Вграден режим - в този режим AIP SSM е директно в трафика. Ако ASA посочи, че трафикът трябва да се анализира в AIP SSM, тогава този трафик не може да премине през ASA, докато не премине през модула и не премине проверката в модула. Този режим е най-сигурният, тъй като трафикът се анализира преди да влезе в мрежата и съответно може да бъде блокиран. Този режим обаче може да повлияе на пропускателната способност.
  • Промишлен режим - в този режим ASA изпраща копие от трафика за анализ на AIP SSM. Този режим е по-малко сигурен, но има по-малко влияние на честотната лента. В този режим AIP SSM може да блокира трафика, като инструктира ASA да прекрати връзката или да избегне трафика. В допълнение, докато AIP SSM анализира трафика, малко количество от него може да премине през ASA, преди да бъде блокиран.

Процедурата за конфигуриране на ASA за изпращане на трафик за анализ на AIP SSM:

  1. Конфигурирайте карта на класа, която ще посочи кой трафик да се изпрати за анализ
  2. Конфигурирайте карта с правила, която ще показва в кой режим ще се анализира трафикът и как да се обработва трафикът, ако модулът не е наличен
  3. Прилагане на карта с правила на интерфейса

[редактиране] Конфигуриране на карта на класа

Изпратете целия трафик за анализ от AIP SSM:

Изпратете трафик, предназначен за хост 192.168.5.1 за анализ от AIP SSM:

[редактиране] Задаване на карта на политиката

Задаване на карта с правила TO_IPS

Ips командни опции:

  • вграден - анализ на трафика в вграден режим
  • promiscuous - анализ на трафика в безразборен режим
  • fail-close - ако модулът не е наличен, тогава трафикът, който трябваше да бъде изпратен към модула, не е позволено преминават през ASA
  • отваряне - ако модулът не е достъпен, тогава трафикът, който трябваше да бъде изпратен към модула, позволен преминават през ASA