1/13IPS测试报告2/13目录1.管理IPS模块.....................................................................................................................32.将流量导入IPS..................................................................................................................43.设置IPS的检测特性集以及针对特性集的动作方式.....................................................84.查看Log日志..................................................................................................................123/131.管理IPS模块1.1使用模块;1.2运行IDP管理软件,管理IPS;1.3进入到IPS的管理界面;4/13可以在此界面看到IPS当前的状态,同时可以对IPS做相应的配置。2.将流量导入IPS进入ASDM管理ASA防火墙;点击“Configuration”“Firewall””ServicePolicyRules””Add”5/13在弹出的对话框中选择准备使用IPS过滤流量的端口,点击“Next”,6/13选择该接口上准备使用IPS过滤流量的类型,我们在这选择“Anytraffic”,点击“Next”;7/13设置IPS的部署模式,可以选择InlineMode(IPScandropthepacket)或者promiscousMode(IPScannotdropthepacket);设置当IPS失效后,IPS能否被旁路。Permittraffic是可以旁路,Closetraffic是不能旁路。设置当前用于检测流量的特征集。当前我们选择Inline模式,允许旁路和IPS默认的特征集。如下8/13最后点击“Finish”,则此接口上的流量将会被导入IPS进行检测。3.设置IPS的检测特性集以及针对特性集的动作方式在IDM中点击“Configuration””Policies””SignatureDefinitions”,可以看到当前IPS的检测特性集的配置。9/13按照上图所示,左边的状态栏的Sig0显示的是当前IPS默认配置特征集的类别,包括攻击性特征类,邮件特性类,网络服务类,IM即时通讯类,P2P类等。右边为每种类别当中具体的特征码。如特征码ID为1000/0的IPoption-BadOption,其为启用enable状态,安全级别为information,如果包含此类特征码的流量通过IPS,则会发Log警告信息,但不会对流量做控制;如特征码ID为1202/0的IPFragmentOverrun,其为启用enable状态,安全级别为Highrisk,如果包含此类特征码的流量通过IPS,则会发Log警告信息,同时会将流量做阻断;Cisco会对现在网络上的攻击行为定义相应的特征码集合,并为其不同的特性定义相应的安全威胁等级,已经预先设置包含此特征码的流量是否被阻断。更改默认的特征码的动作方式10/13如果需要对Cisco默认的特征码动作做更改的,可以选择特征码在点击“EditActions”。则会弹出上面窗口,可以根据需要进行修改。定义IPS的规则特征码的安全级别分为高风险级别,中风险级别和低风险级别,可以根据每种不同的级别做动作,如图11/13点击“rule0”双击相应风险级别编辑动作,如下图点击“OK”,编辑完毕。最后点击“IPSPolicies”,可以看到IPS对各种风险等级流量的控制。12/13配置完成,现在IPS能够将流量按照设置的特征码的进行匹配以及动作。4.查看Log日志点击“Monitoring””Event”,如下图点击“View”,可以看到IPS对流量进行检测的日志信息。13/13由上图可以看到,当前IPS对流量进行检测控制的详细信息。例如攻击发现时间,事件的定义以及对流量的控制信息。Reestar*Flyforever