IPS的原理以及使用手册（cisco4240）

IPS的原理以及使用手册（cisco4240）

好久没写博客了，今天终于把IPS的知识掌握完毕，所以将这些内容分析出来，感兴趣的同学请继续往下看。
本篇讲的内容会偏多，其中包括下面的几个方面：
1、IPS的基本原理
2、IPS的console的初始化
3、IPS的IDM基础使用
4、IPS的在线模式和杂合模式
5、IPS不同signature与多个VS的关联
6、IPS的signature的alerts（警告）和log action
7、IPS的signature deny action （拒绝动作）
8、IPS signature engine（引擎）介绍
9、IPS参数调整
10、IPS动作过滤
11、IPS的blocking

IPS的基本原理

IPS(入侵防御系统），对于初始者来说，IPS位于防火墙和网络的设备之间。由于防火墙性能上的限制，通常不具备实时的监控入侵的能力，而IPS如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。
而IDS（入侵检测系统），只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。换言之IDS只是启动检测到攻击，而不能及时的对其进行处理，当然我们这里说的可以处理，是配置IPS的联动，例如blocking，这里我们后面会提到。
IPS检测攻击的方法也与IDS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。
IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备，使用的是IPS而不是使用IDS，你的网络通常会更安全。但是安全和性能从来都是成反比的，所以我们建议在网络访问较少的，数据相对重要的布置IPS，访问较多的，数据相对不那么重要的布置IDS。

IPS的console的初始化

这里我们通过VMware的形式展示给大家看，将其镜像导入VMware，直接登录进去，开始配置，若是直接进入登录模式的，先登录进去后输入setup重新设置。
配置IPS名称

配置IPS网管接口（IP地址，默认网关），此接口有路由功能。只有默认路由到网关。

是否修改现在有的ACL。这个ACL是用于控制哪些源IP来进行网管IPS的地址。空配必须打YES。

允许某个网段。或某个主机地址。如果没有允许。将无法网管IPS，设置完后，按两下回车。进入下一步。

配置DNS服务器。在这里不配置。

配置HTTP代理服务器。

修改系统时间。

是否参与思科汇总统计。向思科发送信息。有点类似于。我们安装软件最后一步。参加什么云改善计划活动。

确认已配置信息

选择3。继续高级选项

开启telnet同能，默认关闭。但是可以使用SSH。

修改配置WEB服务的端口。默认使用443就行。

修改接配置。直接回车。一般在网管界面配置。

修改配置威胁检测。直接回车。一般在网管界面配置。

选择2保存配置。

物理主机需要求有网卡与我们上面配置IPS主机的同一网段地址。

测试是否能够ping通IPS管理地址，此时能ping通IPS。

并且开启了telnet后应该能正常telnet。

在本地浏览器上输入改管理地址：HTTPS://172.16.18.100.

点击run IDM。注意：需要提前安装好JAVA，版本为6的，过低或者过高都会有所影响。这里可自行百度下载。

安装。

勾选，点击信任。

输入IPS的用户名和密码。

进入到网关界面。Console初始化，结束。

IPS的IDM基础使用

添加证书

当我们在浏览器打开IPS管理地址时，出现如下问题

则需点击浏览器的设置，Internet选项，高级，将其SSL3.0打勾。再将其添加到信任站点。

这时候便可访问。

但是我们发现这里写的证书错误，所以我们需为其添加证书，点击“证书错误“查看证书

安装证书

当前用户


点击是。

再次查看，证书安装好，没有提示证书安装错误。

查看证书指纹是否和IPS一致

可以看出，为一致。
IDM的使用
第一个模块：configuration/sensor setup

Network ：这里可修改IPS管理接口的地址掩码和网关，也可以配置相关http和DNS的地址，相当于我们配置命令setup之后的配置。

当你勾选激活密码恢复的时候，这里用做当密码忘记的时候可以直接修改为cisco且不会清除配置（具体操作在重启IPS时按2）。若是不勾选则可以重置密码，但是相对于的配置也清除掉（具体操作在重启IPS时按1）。具体如下操作，需注意做CRT关联时需创建串行接口，具体操作与做ASA的一致。