理解思科IPS的部署架构
在该任务中主要描述关于思科入侵防御系统的接口配置、关于旁路模式和穿越模式的特性与区别、思科IPS系统的virtual sensor、traffic flow notifications、bypass mode、signature、以及 signature检测入侵行为后的动作、signature的引擎等。
关于思科IPS的接口配置
思科的IDS/IPS只有一个command(或者叫做control接口),最多可以有8个monitor接口(或者叫8个sensor接口),多个接口可以同时监控多个网络,如下图5.1所示,可以作穿越模式(在线模式),也可以做旁边路模式(杂合模式),但是必须考虑IPS自身能否承受如此之在的网络流量压力。并且所有的sensor接口使用相同的配置,比如:图5.1所示的环境中,完成了一个signature的配置,那么这个配置即针对图中在线模式(inline)的所有接口生效,也针对图中的所有杂合模式接口生效。默认情况下思科IPS上的所有接口全部是保持关闭状态,并且没有任何接口关联到Virtual sensor,思科IPS任何接口要完成相关的入侵检测行为,必须启动接口,并将接口关联到Virtualsensor,那么什么是Virtual sensor?将在下一博文进行描述。
注意:如果您刚购买了一台全新的思科IPS设备,默认它只有两个接口,一个command接口和一个sensor接口,但是提供了两个模块化的槽位,您可以通过扩展模块来获得更多的sensor接口。
在旁路模式中,分析的数据包并没有真正的穿越sensor接口,它实际上是分析实时通信流中数据包的一个拷贝包,当然这需要接合交换机的端口镜像功能来完成。旁路模式的最大优点在于不影响流量的性能,比如说一些要超低延迟的数据包(IP语音包)就不会受到IPS分析的影响,最降低转发延迟,这种模式的最大缺点是不能阻止初始化攻击,面对攻击时的响应迟缓,也叫做post-event,也就是常说的事后才知。关于旁路模式的部署将在本项目的5.2任务二 旁路模式(杂合模式)下思科IDS/IPS传感器的部署有详细描述。
接口处于穿越模式(在线模式)的特性:
如果是连接同一交换机,两个接口要处于不同的VLAN,一个VLAN就没有意义了,最初穿越模式中的两个接口必须要使用两个物理接口,现在一个物理接口也可以做在线模式,因为它可以跟交换机的trunk联动并提供了VLAN Pairs特性,这就有点类似于VLAN间的单臂路由(将一个物理接口分为多个逻辑子接口并规划到不同的VLAN中)。要配置在线模式,必须遵守这样一个则规则:首先激活两个接口,其次是把两个接口放到interface Pairs,最后把interface Pairs关联到virtual sensor。IPS是没有必要像防火墙那样去区分内外接口的。
使用穿越模式的IPS会对流量性能造成一定的影响,特别是一些要超低延迟的数据包(IP语音包),最大的优点是可以阻止初始化攻击。
本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1285421,如需转载请自行联系原作者
