Cisco IOS IPS | |||||||||
Q. IOS IPS和IPS有什么不同?
A. IOS IPS是带IPS功能的路由器,即可升级支持IPS功能IOS的路由器。而IPS检测器是专门的IPS系统,如Cisco IPS 4200产品。
Q. IPS子系统版本指什么? 在哪里查找?
A.IOS里面内置的IPS有一个子系统版本号,简单地来说,子版本号标示了IPS的功能版本信息。IOS和IPS子系统的关系,就犹如Windows里面装了Office 2003,2003就是Ofiice软件的"子版本号"。通过 show subsys 查看
Q. 哪里可以下载到Cisco IPS Version 5格式的特征集文件,用于IOS 12.4(11)T?
A. 下载链接[url]http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup[/url]. 注意,稍早IOS版本并不支持该种格式的特征集文件。
Q. 内置特征集是指什么?
A. 即IOS本身自带的特征集,在12.4(11)T版本里已经移除。在稍早的版本里内置135个特征(签名),并不推荐使用,一般建议将签名SDF文件拷贝进Flash,使IOS可支持接近600个入侵特征。
Q. 基本特征集和高级特征集是什么?
A. 基本特征集(在Cisco网站下载的文件名128MB.sdf) 系推荐给内存大小为128MB的路由器使用。高级特征集t (在Cisco网站下载的文件名128MB.sdf,该文件目前786KB大小)系推荐给内存大小为256MB的路由器使用。
下载链接[url]http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup[/url].原使用文件attack-drop.sdf已经不提供下载,因为只覆盖了有限的攻击特征。
Q. 在Cisco Security Device Event Exchange (SDEE)可以存放多少条目?
A. SDEE系应用层通信协议,用于交换IPS客户端和服务器之间的信息。除非SDEE通知打开,否之收不到信息。当使用命令ip ips notify sdee打开通知之后,可以自动缓存存储200个事件报告 ,重设通知功能,也会导致事件报告丢失。
Q. IOS IPS是否有故障安全能力?
A. 所谓故障安全,在网络安全领域,指软硬件发生故障后,阻塞所有流量保证安全(fail-close),或者允许所有流量通过保证连接(fail-open),电力领域里,电路短路后跳闸,就属于fail-close。
默认情况下Cisco IOS IPS有fail-open能力,即IPS失效后,所有流量可通过。使用命令ips fail closed,可以改变IPS行为,发生故障后,丢弃所有数据包。
Q. 在IOS软件 12.4(9)T2之前版本,如果外部特征数据库服务器不可用,或者特征集文件损坏及丢失时,路由器采取什么动作?
A. IOS IPS可以配置多个特征集的备份位置,比如TFTP、Flash、HTTP等,如果在任何位置都找不到特征集文件,那么会启用IOS内置特征集数据库。如果之前使用命令no ip ips sdf builtin,明确不允许使用内置特征集数据库的话,那么会执行故障安全,参看上一个问题,要么fail-open,要么fail-close,每分钟产生对应信息:(%IPS-5-PACKET_UNSCANNED: IPS-fail open-packets passed)., (%IPS-5-PACKET_DROP: IPS-fail closed-packets dropped)。
Q. 如果某个特征无法加载,怎么办?
A. 忽略对应特征的扫描,其它特征继续工作.
Q. 12.4(11)T之后版本的IOS,如何改变对应特征触发的动作?
A. 使用命令行可以操作,具体参看配置文档。
Q.12.4(11)T之前的版本,如果改变对应特征触发的动作?
A. 特征对应采取的动作,可以由SDM 2.2或者IPS MC 2.2操作。动作设置包含:报警、丢弃、重设、拒绝攻击者、拒绝数据流
Q. Cisco IOS IPS 和Cisco IOS Firewall共享相同的会话表吗?
A. 是的,它们共享相同的会话表. 最重要的会话参数包括:
ip inspect max-incomplete,
ip inspect one-minute,
ip inspect tcp max-incomplete host session counters.
更详细信息参看 Cisco IOS IPS白皮书: [url]http://www.cisco.com/en/US/products/ps6634/prod_white_papers_list.html[/url].
Q. inactive对检测引擎意味着什么?
A. inactive的特征是不执行对应检测的. disabled的特征执行对应检测,但不采取任何动作。
Q. Cisco SDM 2.2 和CiscoWorks IPS MC 2.2的差别?
A. Cisco SDM 2.2 是设备管理工具. 每个设备1个配置界面. CiscoWorks IPS MC 2.2 网络管理应用. 可以 CiscoWorks IPS MC 2.2部署多个Cisco IOS IPS 设备的配置
更多信息请看:
• CiscoWorks IPS MC: [url]http://www.cisco.com/en/US/products/sw/cscowork/ps3990/index.html[/url]
Q. Cisco IDS模块和IOS IPS的差别?
A. IDS网络模块集成IPS 4200检测器,作为IDS的解决方案,不会阻止流量。 IDS网络模块和路由器是相对独立的(模块自带硬盘、Flash、CPU、处理芯片、操作系统),因此不会影响路由器的性能和处理。而IOS IPS系路由器IOS中的一部分功能,使用的路由器的CPU进行处理。IDS网络模块需要1个NM插槽,支持2600XM、2691、2811、2821、2851、3660、3700、3800平台。
Q. 哪些平台支持IOS IPS? A. Cisco 87x, 18xx, 28xx, 38xx, 2600XM, 2691, 37x5, 72xx 以及7301 支持Cisco IOS IPS 功能. 也不排除未来其它运行IOS的平台增加对该功能的支持。 |
[原文档注释]精选Cisco IOS IPS常见问题
精选 转载
提问和评论都可以,用心的回复会被更多人看到
评论
发布评论
相关文章
-
cisco vpn 常见问题
cisco vpn 常见问题
cisco vpn -
CISCO常见问题及解答——×××相关
CISCO常见问题及解答——VPN相关
CISCO VPN -
iOS入门常见问题汇总
小知识,大挑战!本文正在参与“程序员必备小知识”创作活动。 I、入门常见问题 1.1 请问iOS入门的话,xcode虚拟机就可以了?
iOS ios xcode swift