思科IPS产品线安装部署指南V3.doc

思科IPS 设备配置部署简述目录1概述32IPS 4200典型工作模式42.1IPS 4200 IDS 工作模式部署步骤62.1.1IDS 4200 IDS模式部署 图例62.1.2配置IPS初始化安装72.1.3配置业务承载交换机72.1.4配置IDM访问82.1.5配置IPS 4200软件升级112.1.6配置IPS 4200接口采集信息152.1.7配置IPS 4200与网络设备联动162.1.8配置IPS 4200与网络设备联动策略执行192.1.9观察IPS 4200联动效果222.1.10使用IEV管理IPS 4200222.2IPS 4200 IPS 工作模式部署步骤252.2.1Inline 工作模式结构图252.2.2Inline模式配置步骤263NM-CIDS IDS部署步骤293.1NM-CIDS 模式部署 图例313.2安装NM-CIDS313.3初始化配置NM-CIDS323.4配置IDM访问333.5配置NM-CIDS软件升级353.6配置NM-CIDS接口采集信息383.7配置NM-CIDS与网络设备联动393.8观察NM-CIDS联动效果424IOS IPS部署步骤434.1ISR IOS IPS模式部署 图例434.2ISR IOS IPS部署概述434.2.1配置ISR路由器更新软件434.2.2配置ISR路由器SDF文件434.2.3配置ISR路由器启用IPS功能444.2.4检查配置464.3ASA/PIX IOS IPS部署概述484.3.1配置ASA/PIX防火墙启用IPS功能484.3.2检查配置495ASA AIP IPS部署步骤505.1配置AIP-IPS初始化安装505.2配置ASDM 访问IPS515.3配置ASA 重定向流量到IPS模块535.5调整AIP-IPS 策略566C6K IDSM部署步骤606.1IDSM-2 Inline模式数据流图解606.2确认IDSM-2 模块606.3IDSM-2 模块和Catalyst 6500 关联配置626.4IDSM-2 IPS 配置647CSA 主机IPS/IDS部署步骤647.1CSA 终端安全防护软件功能概述647.2CSA 5.1 安装需求647.3CSA 5.1 扩展功能总结657.3.1禁止客户端卸载CSA、关闭CSA、停止CSA服务657.3.2禁止客户端修改CSA安全级别697.3.3管理可移动介质的使用：光驱、软驱、U盘718IPS与MARS集成部署概要728.1配置MARS 管理IPS 4200728.2配置MARS IPS监控的网段738.3检查配置结果748.4观察网络结构图758.5检测攻击拓扑769IPS 6.0 新特性部署指南779.1升级过程描述779.2新增特性说明虚拟Sensor809.2.1特性功能说明809.2.2拓扑结构图819.2.3实施部署说明829.3新增特性说明异常流量检测899.4新增特性说明与CSA MC联动939.5新增特性说明OS 系统识别941 概述 很多人在使用和配置IPS系列产品中遇到很多问题，甚至怀疑系列产品的功能及作用，其实这个产品的功能及特性勿庸置疑！只是如何利用好这个强大的产品真正的帮助最终用户解决问题 才是目前的重点, 特此撰写一篇关于IPS实施部署指南的文章，供大家参加。内容中如果有错误或者疏漏请直接改正，或者通过带外方式直接联系我，希望和大家一起讨论。此文章均依照IPS 5.X 软件版本为标准起草。 目前我们IPS/IDS产品线 主要包含设备类型如下：1、 模块化产品：ASA上的AIP IPS模块、C6K上IDSM模块、路由器上NM- CIDS模块。2、 Appliance产品：IPS 42XX系列3、 集成式产品：路由器IOS 集成 IPS功能、ASA/PIX集成IPS功能4、 主机IPS/IDS产品：CSA 总体IPS策略： 在我们没有推出高性能IPS解决方案之前，建议推荐我们更多的从IPS 设计部署理念入手、从强调我们IPS产品与网络中我们其他安全防护产品之间协作、互动等方面入手引导用户（这里才是我们目前真的优势所在，也是对用户来讲最最实用的功能所在），避免进入竞争对手的单纯强调设备性能的套路（当然这取决于项目前期的技术工作是否到位）。目前我们很多竞争对手强调IPS性能指标，其实是相对片面的，INLINE 模式高性能IPS部署 目前还有很多局限性 比如基于检测准确度 及误报等、自身的安全性问题等（建议可以从分析这些局限性入手 引导用户的思维）。最后着重值得强调的是：IPS比的并不是性能，比的就是攻击检测的准确性。IPS不是用于普通用户流量或骨干线路的保护，应当放在关键运算资源前面进行防护。相对而言，攻击检测的准确度以及误报率是需要着重衡量的指标。 思科IPS 市场份额分析，据Q2CY06 全球统计，思科在IDS/IPS市场排第一位： Cisco 17.9 ISS 14.4 Symantec 13.4 3COM 10.8Junifer 7.8 希望可以通过部署实施文档，让更多的人了解思科IPS，并且让更多的人利用好我们这个强大的工具。 在使用思科IPS产品同时，请确保购买了相应的IPS特征码库升级服务，否则无法享受免费的更新操作。注明：设备在最初购买时 可以去HTTP:/WWW.CISCO.COM/GO/LICENSE申请两个月试用授权。这个授权只能免费申请一次，不能重复申请。因此再次强调大家应该注意尽早购买IPS 特征码升级服务。2 IPS 4200典型工作模式IPS/IDS功能如下： 我们现在大多安全产品均支持IPS/IDS两种特性，这取决与你在实施中把此设备放置于那种模式。IPS 产品的最大优点是可以在线的检测攻击及拦截攻击， 而我们IDS产品的虽然不能自身主动拦截攻击，但是其最大优点是可以与现网思科的网络基础设备联动，并且调度这些设备拦截攻击。IPS 4200 典型部署应用描述： 利用IPS 4200 支持多个检测接口的特性实现企业安全域防护，可以利用IPS 4200上面的监控接口连接至多个企业业务承载交换机（OA网络、前置网络、核心交换网络），IPS 4200 接口就像伸出了多个触角监控企业各个安全区域内部的安全状况，一旦安全域（信任域、非信任域）内部发现恶意行为，可以配置IPS自动实现与网络中其他安全设备联动响应例如： 发现安全域中攻击行为后调用路由器资源进行网络边界防护及攻击的拦截； 与C6K设备联动利用VACL 对于安全域内部发现的攻击进行动态的防护拦截控制； 与ASA/PIX/FWSM联动 对于边界安全及核心安全区域进行保护。 总结：最大限度的利用IPS 4200 对于网络的安全域划分的全局可见性，与安全域中相应的网络安全设备实现联动，最终使得企业中现有网络安全设备互相配合，为整个企业的安全域划分保驾护航！也是对于思科自防御网络的自适应安全理念的一个很好的诠释。IPS 4200 典型功能如下：1、IPS sensor自身的drop packet能力，当一个signature检测到攻击，在in-line的时候Action中可设置以下三种操作，对包进行丢弃： Deny Attacker Inline Deny Connection Inline Deny Packet Inline2、IDS与其他设备联动阻断攻击 ，即blocking 功能。sensor上有一个network access controller，控制相关联动设备的block动作，可以有三种block类型： Host blockBlocks all traffic from a given IP address. Connection blockBlocks traffic from a given source IP address to a given destination IP address and destination port. Network blockBlocks all traffic from a given network. 目前network access controller可支持的联动设备包括： cisco router catalyst 6500 PIX/ASA/FWSM说明：其中router是用过ACL、交换机是通过VACL来实现阻断，而防火墙PIX/ASA/FWSM通过配置shun/no shun实现阻断。注意如果利用防火墙进行攻击的阻断，目前利用Host block实现。2.1 IPS 4200 IDS 工作模式部署步骤2.1.1 IDS 4200 IDS模式部署 图例说明：如上图所示 IPS 4240为例，IPS4240 配置于IDS模式监控及管理网络，配置IPS管理口单独作为管理接口使用，配置流量监控的四个流量捕捉接口分别连接关键的业务交换机，并且配置相应的业务交换SPAN 多个VLAN的流量发送给相应的IPS 4240的监控接口，最后配置IPS 4240 与网络中处于相应位置的思科路由器、交换机、PIX/ASA/FWSM设备进行联动，最终实现攻击的在线拦截。下面将对于配置步骤作相应的说明和要点总结。2.1.2 配置IPS初始化安装配置步骤如下：1. 使用Console 方式连接IPS设备，并且对于设备完成初始化安装工作。-service hostnetwork-settingshost-ip 00/24,54 IDS 设备管理口地址对应Man0/0host-name IPS4240telnet-option enabledaccess-list /24 定义管理网段exittime-zone-settingsoffset 8standard-time-zone-name beijingexit-service web-server 启动GUI 管理方式，方便利用GUI IDM管理工具管理enable-tls trueport 443exit-注意：为了保证网管的安全性，请尽量使用SSH方式对于IPS设备进行管理。2. 连接IPS 4200 四个流量监控接口至用户相应的关键业务承载交换机，比如：办公网交换机、数据中心业务交换机、网络前置交换机等。2.1.3 配置业务承载交换机配置步骤如下：注意：命令的语法会根据你的交换机特性及软件版本略有区别。目前我们的路由器也支持SPAN功能，也可以结合利用。1、C4500交换机配置命令如下：连接相应的业务交换机，配置VLAN BASE SPAN 发送流量给IPS设备连接的流量接口。具体配置说明如下：monitor session 1 source vlan 110 , 135 , 140 , 150 说明：可以同时SPAN多个VLAN信息给监控接口，当让也可以配置接口直接SPAN。monitor session 1 destination interface Fa3/1 encapsulation dot1q2、C3750 交换机配置命令如下：monitor session 1 source vlan 70monitor session 1 destination interface Gi1/0/10 encapsulation replicate3、也可以配置交换机使用RSPAN引导流量进入监控端口说明：配置把SPAN的流量发送给IPS 4240连接的接口，注意这里配置了封装DOT1Q的操作，目的是 可以让IPS SENSOR发现攻击是从那个VLAN发现的，如果你不完成上述安装，在IPS报告中你将无法判断攻击事件与VLAN ID的对应关系。4、观察配置命令是否生效：C4503-SW05#sh monitor session 1Session 1-Type : Local SessionSource VLANs : Both : 110,135,140,150Destination Ports : Fa3/1 Encapsulation : DOT1Q Ingress : Disabled Learning : Disabled2.1.4 配置IDM访问配置步骤如下： 1. 安装最新的JAVE虚拟机 1.5版本，并且调节JAVE内存至256M。方法：控制面板JAVA图标入下图操作对于JAVA RUNTIME参数进行如下修改。 2. 配置利用HTTPS:/X.X.X.X ：Port 访问IPS设备，其中IP地址就是你的IPS网管IP地址。如果你最开始配置时改变的网管的端口，这里也需要填写相应的访问端口号。缺省使用443端口进行连接，即时你使用的80端口，所有的流量也是经过加密传输，必须强制要求你的IE浏览器安装JAVA虚拟机插件才可以正常的进行登陆访问。2.1.5 配置IPS 4200软件升级1. 配置IPS启用流量监控接口，进行流量采集。2. 配置IPS进行软件、补丁及授权信息、特征库进行更新A、配置IPS软件主版本号进行升级，注意目前最新版本可以升级至5.1.1，IPS-K9-min-5.1-1g.pkg 软件可以从思科WEB网站下载。注意如果用户目前使用4.0版本，则需要进行大版本号升级工作。相应的软件也可以从思科网站下载。注意进行大版本号和小版本号软件相应升级后需要重启IPS设备；进行授权更新及IPS特征库升级时无需重启IPS设备。B、配置IPS软件小版本号进行升级，注意目前最新版本可以升级至SP 5.1.4，IPS-K9-sp-5.1-4.pkg软件可以从思科WEB网站下载。C、配置IPS进行授权信息升级，注意目前如果你还没有签订IPS SIGINITURE升级服务，则只能去思科网站利用你的IPS主机序列号 申请60天的试用授权，这种试用版授权只能申请一次，因此建议购买IPS 信息库升级授权。说明：这里可以直接上网更新申请，也可以下载授权到机器本地，从本地直接读取授权文件，注意必须读取授权文件后，你才能升级IPS特征库。D、配置IPS 特征库进行升级，注意目前最新版本IPS-sig-S259-minreq-5.1-2.pkg软件可以从思科WEB网站下载。这次升级无需重启。2.1.6 配置IPS 4200接口采集信息2.1.7 配置IPS 4200与网络设备联动说明：联动方法有三种，与PIX/ASA/FWSM通过SHUN联动，与C6K 通过VACL联动，与路由器通过ACL进行联动。下面主要以与PIX/ASA/FWSM通过SHUN命令远程利用防火墙进行联动为例说明：1、 配置设备LOGIN PROFILE，这里需要配置你希望进行联动的设备访问方式。必须提供登陆用户名、密码以及ENABLE密码。2、 配置设备Blocking 设备菜单，这里需要配置你希望进行联动的设备的IP地址，以及设备的类型，并且需要引用刚才指定好的模板。以与防火墙联动配置如下：2.1.8 配置IPS 4200与网络设备联动策略执行1、 一种简单的配置方式，可以单独调节SIGNATURE 的执行策略，进行联动配置。这样子配置的好处是：可以针对用户的需求来配置联动，避免由于误报产品不必要的拦截。2、 另外一种简单的配置方式，可以单独调节RR 进行执行策略，进行联动配置。这样子配置的好处是：可以统一指定执行策略，避免单独调节特性的特征库行动。3、 配置不拦截网段， 作用：在用户关键业务网段，即使发现攻击由关键业务主机发起，也不要对于这些关键业务设备的IP地址进行拦截。4、 配置设备IP地址被拦截后，中断的时间。2.1.9 观察IPS 4200联动效果1、在IDM监控界面观察。注意：你可以选择删除以便接触拦截工作，也可以观察相应的拦截原因。2、 在联动网络设备上观察。BJ-FW-PIX525# sh shun statistics outside=ON, cnt=10untrust=OFF, cnt=0inside=OFF, cnt=0dmz=OFF, cnt=0dmz1=OFF, cnt=103Shun 5 cnt=0, time=(0:23:26)Shun 2 cnt=0, time=(0:04:01)BJ-FW-PIX525#2.1.10 使用IEV管理IPS 42001、 配置IEV 添加IPS管理地址。2、 IEV报表查看2.2 IPS 4200 IPS 工作模式部署步骤2.2.1 Inline 工作模式结构图 2.2.2 Inline模式配置步骤1、开启IPS 接口2、创建IPS Inline 模式的interface pair,指定inside 和outside 接口.3、分配接口到 virtual sensor4、在Inline 模式中,配置特定signature的Inline 行为.5、开启Bypass 功能,用于IPS 出现故障时,数据业务不出现中断.6,攻击拦截功能Reset TCP Connection3 NM-CIDS IDS部署步骤 部署说明：NM-CIDS 只能工作再IDS模式，不能配置成为IPS模式使用。NM-CIDS不支持桥接接口。 NM-CIDS虽然不是一个标准的IPS设备，但是可以实现很多类似的功能，比如检测到恶意行为穿过路由器时，马上可以和网络设备联动推送动态ACL并且可以实现SESSION RESET等操作。 NM-CIDS可以与思科ISR等路由器搭配作为强化边界安全的一个主力特性使用。NM-CIDS模块配置简单，可以与网络设备进行联动，同时配合ISR路由器IOS IPS（目前IPS 650特征库）功能可以使设备识别攻击、拦截攻击的能力大幅度强化，同时利用NM-CIDS（目前1200IPS 特征码支持）的信息发送给IPS网管软件IEV，以及思科安全网管MARS可以更加有效的帮助网络管理员在网络边界有效的隔离攻击时间，同时了解网络的威胁，如果结合ISR 路由器软件集成的NETFLOW功能配合MARS一起使用将会有更好的边界防御效果。 支持思科C2600, 2800, 3600, 3700, and 3800 全线路由器。C2800, 3700, 3800 Up to 45 Mbps性能。 Five hundred new TCP connections per second Five hundred HTTP transactions per second3.1 NM-CIDS 模式部署 图例注意：NM-CIDS没有外部的Console接口，NM-CIDS模块上面的接口使提供网管操作使用的，例如 更新软件、特征码库、监控信息传递、IDM及IEV等GUI界面网管访问使用。注意此时：模块上面的管理接口可以连接至公司的网管VLAN，以便保证设备的安全性。这点与其他IPS设备的网管接口连接方式完全类似。3.2 安装NM-CIDS 首先，安装NM-CIDS进入ISR路由器槽位。然后依次执行下面的命令完成对于模块的初始化安装工作。1、 首先通过命令确认你的模块是否安装完毕，并且获取模块所处相应槽位信息。 router # show interfaces ids-sensor slot_number/0 请填写相应NM-CIDS所在槽位号。可以利用Show run 命令观察所在槽位。2、 开启路由器CEF 功能 router# configuration terminal router(config)# ip cef 3、 为NM-CIDS Sensor接口指定IP地址router(config)# interface ids-sensor 1/0router(config-if)# ip unnumbered loopback 0 注意：可以自己另外设定地址，我们这里使用路由器已有Loopback地址。4、 开启路由器Sensor接口 router(config-if)# no shutdown3.3 初始化配置NM-CIDS 1、 登陆NM-CIDS模块 router# service-module ids-sensor X/0 session Trying , 2033 . Open X 是NM-CIDS模块在ISR路由器中所处的槽位。 可以利用Ctrl-Shift-6 X 推出NM-CIDS管理模式。2、 完成NM-CIDS模块的初始化工作-service hostnetwork-settingshost-ip 5/24, IDS 设备外部管理口地址对应Man0/0host-name nm-cidstelnet-option enabledaccess-list /24 定义管理网段exittime-zone-settingsoffset 8standard-time-zone-name beijingexit-service web-server 启动GUI 管理方式，方便利用GUI IDM管理工具管理enable-tls trueport 443exit-注意：为了保证网管的安全性，请尽量使用SSH方式对于IPS设备进行管理。3. 连接NM-CIDS 模块外部接口至相应的网管VLAN承载交换机，以便后面进行软件升级时使用。3.4 配置IDM访问配置步骤如下：1. 安装最新的JAVE虚拟机 1.5版本，并且调节JAVE内存至256M。方法：控制面板JAVA图标入下图操作对于JAVA RUNTIME参数进行如下修改。 2. 配置利用HTTPS:/X.X.X.X ：Port 访问IPS设备，其中IP地址就是你的IPS网管IP地址。如果你最开始配置时改变的网管的端口，这里也需要填写相应的访问端口号。缺省使用443端口进行连接，即使你使用的80端口，所有的流量也是经过加密传输，必须强制要求你的IE浏览器安装JAVA虚拟机插件才可以正常的进行登陆访问。3.5 配置NM-CIDS软件升级与配置IPS 4240软件升级类似。IPS试用版本授权KEY 导入。IPS操作软件小版本号升级包导入：IPS 更新特征码库 文家导入：3.6 配置NM-CIDS接口采集信息1、配置IPS 启用SENSOR接口。2、在路由器上面配置流量映射：C3845(config)# interface G0/0进入你想进行流量监控的路由器接口配置模式C3845(config-if)# ids-service-module monitoring配置接口进行流量监控 3.7 配置NM-CIDS与网络设备联动说明：联动方法有三种，与PIX/ASA/FWSM通过SHUN联动，与C6K 通过VACL联动，与路由器通过ACL进行联动。下面主要以与路由器通过下发ACL命令远程利用路由器进行联动为例说明：1、 在NM-CIDS上配置设备登陆模板2、 在NM-CIDS上配置联动路由器登陆模板3、 在NM-CIDS上路由器相应接口配置ACL下发3.8 观察NM-CIDS联动效果4 IOS IPS部署步骤IOS IPS主要优势如下： 部署简单易用，思科路由器内嵌IOS特性 支持INLINE工作模式自动拦截攻击，部署简单实用，轻松在网络边界对于攻击进行动态过滤及防范。4.1 ISR IOS IPS模式部署 图例说明：如上图所示 ISR IOS IPS为例，ISR IOS配置于IPS模式监控及管理网络，在ISR设备上目前最大支持Inline 模式下650个IPS特征库。下面将对于配置步骤作相应的说明和要点总结。4.2 ISR IOS IPS部署概述4.2.1 配置ISR路由器更新软件 首先更新ISR路由器软件版本以便支持IPS特性，您需要升级您的至 Cisco IOS Release 12.3(8)T or later。 4.2.2 配置ISR路由器SDF文件 ISR路由器软件版本内嵌了一定数量的IPS Signatures，您需要下载最新的SDF文件并且与IOS内嵌的IPS Signatures进行合并操作，以便实现650个最新的IPS Signatures的支持，具体步骤如下：1、访问思科网站下载最新的IOS IPS Signatures文件包。2、合并IOS IPS Signatures文件包。 下载256.SDF文件，注意路由器RAM的容量必须满足安装要求。 通过TFTP方式COPY 下载好的IPS Signatures 文件包进入ISR 存储FLASH.配置ISR 合并最新的IPS Signatures 文件包与IOS内嵌的IPS Signatures文件进行合并。Router# copy disk2: 256MB.sdf ips-sdf存储合并后的文件Router# copy ips-sdf disk2:256MB.sdf4.2.3 配置ISR路由器启用IPS功能路由器全局配置模式具体详细配置如下：*ip ips sdf location flash:/256MB.sdf 配置IOS IPS Signatures 位置。ip ips deny-action ips-interface 配置ISR路由器启用IPS 攻击拦截功能。ip ips notify SDEE 配置IOS IPS通过SDEE方式发送消息。 ip ips signature 2000 0 disable 为了减小误报 DISABLE一些ips signature。ip ips signature 2004 0 disableip ips signature 2001 0 disable ip ips name bjlotinfo 指定IOS IPS 模板名称。ip source-track syslog-interval 120ip sdee messages 500ip sdee alerts 1000*路由器接口配置模式具体详细配置如下：*interface GigabitEthernet0/0 description To-ISP#guanghuanxinwang#10M-old line ip address 6 no ip redirects no ip unreachables no ip proxy-arp ip flow ingress ip flow egress ip ips bjlotinfo in 在ISR相应的外网、内网接口上启用IPS功能。 ip route-cache flow load-interval 30 duplex full speed 1000 media-type sfp fair-queue no cdp enable no mop enabled!*4.2.4 检查配置4.3 ASA/PIX IOS IPS部署概述4.3.1 配置ASA/PIX防火墙启用IPS功能 说明：ASA/PIX防火墙软件版本内嵌了一定数量的IPS Signatures，您需要下载最新的IOS 7.X软件（注释：6.X也支持此特性）以便获取最新的IPS Signatures支持。具体启用此功能需要配置命令如下：*ip audit name ciscoatt attack action alarm drop reset配置IPS 模板名称 指定检测到攻击行为时 设备的执行策略 可以同时指定多个策略同时工作。ip audit name cisco info action alarm配置IPS 模板名称 指定检测到告警时 设备的执行策略 可以同时指定多个策略同时工作。ip audit interface outside ciscoip audit interface outside ciscotatt配置ASA/PIX在相应的接口启用模板。ip audit attack action alarm drop reset配置ASA/PIX检测到攻击行为时 执行的策略 多项策略可以同时生效。ip audit signature 2000 disableip audit signature 2004 disable配置ASA/PIX 为了避免误报 可以根据需要关闭一些IPS Signatures的检测。4.3.2 检查配置5 ASA AIP IPS部署步骤5.1 配置AIP-IPS初始化安装1,在ASA CLI 模式下,使用”session 1”进入AIP-IPS 模块.ASA1# session 1 (进入AIP-IPS 模块)Opening command session with slot 1.Connected to slot 1. Escape character sequence is CTRL-X.login: ciscoPassword: *NOTICE*This product contains cryptographic features and is subject to United Statesand local country laws governing import, export, transfer and use. Deliveryof Cisco cryptographic products does not imply third-party authority to import,export, distribute or use encryption. Importers, exporters, distributors andusers are responsible for compliance with U.S. and local country laws. By usingthis product you agree to comply with applicable laws and regulations. If youare unable to comply with U.S. and local laws, return this product immediately.A summary of U.S. laws governing Cisco cryptographic products may be found at:/wwl/export/crypto/tool/stqrg.htmlIf you require further assistance please contact us by sending email .*LICENSE NOTICE*There is no license key installed on the SSM-IPS10.The system will continue to operate with the currently installedsignature set. A valid license must be obtained in order to applysignature updates. Please go to /go/licenseto obtain a new license or install a license.ssm-sensor# 2,初始化AIP-IPS模块ssm-sensor# setup - System Configuration Dialog -At any point you may enter a question mark ? for help.User ctrl-c to abort configuration dialog at any prompt.Default settings are in square brackets .Continue with configuration dialog?yes: yesEnter host namessm_sensor: ssm-sensorEnter IP interface0/24,: 62/26,29 (配置接口地址和网关)Enter telnet-server statusdisabled: Enter web-server port443: Modify current access list?no: yesCurrent access list entries:Permit: /26 (配置用于网管PC的网段)Modify system clock settings?no: Modify virtual sensor vs0 configuration?no: 0 Go to the command prompt without saving this config.1 Return back to the setup without saving this config.2 Save this configuration and exit setup.Enter your selection2: 2 (存储配置)Configuration Saved.ssm-sensor# reset (重新启动设备,配置才能生效)Warning:Executing this command will stop all applications and reboot the node.Continue with reset? : yes (大约需要10分钟)5.2 配置ASDM 访问IPS配置步骤如下：配置利用HTTPS:/X.X.X.X ,其中IP地址就是你的ASA网管IP地址。然后点击Configuration-IPS.5.3 配置ASA 重定向流量到IPS模块1, Configuration Security Policy Service Policy Rules Add2,Interface Outside ( Create new service policy )3, Any traffic 4, Enable IPS for this traffoc flow Inline Mode Permit traffic5.5 调整AIP-IPS 策略1,IPS 可以灵活的调整Risk Rating ,Event Override ,Event Filters.下面以RR 为例:2,禁止RFC 1918 Spoofing 攻击一个外部的攻击者会潜在的用 RFC1918 私有地址欺骗受害人，受害者会认为来自一个内部网络,IPS 能够block 来自外部的 RFC1918 地址访问.首先开启RFC 1918攻击的Signature(signature no.1107)然后配置 1107s event action to “deny packet inline”. 到event viewer 看是否新的event 被记录下来, 双击进入 event, 你应该看到droppedPacket: true.你也可以 修改event action to “deny attacker inline”,然后到Monitoring IPS Denied Attackers 查看记录信息。你如果不主动移去attacker 的地址,缺省情况下,IPS 在3600 将释秒后放。3, Event Filter我们可以把一些可变的如attacker address 的events 排除在外。 A typical example is that you have a device to do vulnerability assessment to your network. Since the mechanism of vulnerability access to