[原文档注释］精选Cisco IOS IPS常见问题

Cisco IOS IPS

version="1.0" encoding="UTF-8"?>   Q. IOS IPS和IPS有什么不同？ A. IOS IPS是带IPS功能的路由器，即可升级支持IPS功能IOS的路由器。而IPS检测器是专门的IPS系统，如Cisco IPS 4200产品。   Q. IPS子系统版本指什么? 在哪里查找? A.IOS里面内置的IPS有一个子系统版本号，简单地来说，子版本号标示了IPS的功能版本信息。IOS和IPS子系统的关系，就犹如Windows里面装了Office 2003，2003就是Ofiice软件的"子版本号"。通过 show subsys 查看   Q. 哪里可以下载到Cisco IPS Version 5格式的特征集文件，用于IOS 12.4（11）T？ A. 下载链接 [url]http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup[/url] . 注意，稍早IOS版本并不支持该种格式的特征集文件。   Q. 内置特征集是指什么? A. 即IOS本身自带的特征集，在12.4（11）T版本里已经移除。在稍早的版本里内置135个特征（签名），并不推荐使用，一般建议将签名SDF文件拷贝进Flash，使IOS可支持接近600个***特征。     Q. 基本特征集和高级特征集是什么? A. 基本特征集(在Cisco网站下载的文件名128MB.sdf) 系推荐给内存大小为128MB的路由器使用。高级特征集t (在Cisco网站下载的文件名128MB.sdf，该文件目前786KB大小）系推荐给内存大小为256MB的路由器使用。     下载链接 [url]http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-sigup[/url] . 原使用文件attack-drop.sdf已经不提供下载，因为只覆盖了有限的***特征。   Q. 在Cisco Security Device Event Exchange (SDEE)可以存放多少条目? A. SDEE系应用层通信协议，用于交换IPS客户端和服务器之间的信息。除非SDEE通知打开，否之收不到信息。当使用命令ip ips notify sdee打开通知之后，可以自动缓存存储200个事件报告 ，重设通知功能，也会导致事件报告丢失。   Q. IOS IPS是否有故障安全能力? A. 所谓故障安全，在网络安全领域，指软硬件发生故障后，阻塞所有流量保证安全（fail-close），或者允许所有流量通过保证连接（fail-open），电力领域里，电路短路后跳闸，就属于fail-close。 默认情况下Cisco IOS IPS有fail-open能力，即IPS失效后，所有流量可通过。使用命令ips fail closed，可以改变IPS行为，发生故障后，丢弃所有数据包。   Q. 在IOS软件 12.4(9)T2之前版本，如果外部特征数据库服务器不可用，或者特征集文件损坏及丢失时，路由器采取什么动作? A. IOS IPS可以配置多个特征集的备份位置，比如TFTP、Flash、HTTP等，如果在任何位置都找不到特征集文件，那么会启用IOS内置特征集数据库。如果之前使用命令no ip ips sdf builtin，明确不允许使用内置特征集数据库的话，那么会执行故障安全，参看上一个问题，要么fail-open，要么fail-close，每分钟产生对应信息：(%IPS-5-PACKET_UNSCANNED: IPS-fail open-packets passed).， (%IPS-5-PACKET_DROP: IPS-fail closed-packets dropped)。   Q. 如果某个特征无法加载，怎么办? A. 忽略对应特征的扫描，其它特征继续工作.    Q. 12.4（11）T之后版本的IOS，如何改变对应特征触发的动作? A. 使用命令行可以操作，具体参看配置文档。   Q.12.4（11）T之前的版本，如果改变对应特征触发的动作? A. 特征对应采取的动作，可以由SDM 2.2或者IPS MC 2.2操作。动作设置包含：报警、丢弃、重设、拒绝***者、拒绝数据流     Q. Cisco IOS IPS 和Cisco IOS Firewall共享相同的会话表吗? A. 是的，它们共享相同的会话表. 最重要的会话参数包括： ip inspect max-incomplete, ip inspect one-minute, ip inspect tcp max-incomplete host session counters. 更详细信息参看 Cisco IOS IPS白皮书： [url]http://www.cisco.com/en/US/products/ps6634/prod_white_papers_list.html[/url] .   Q. inactive对检测引擎意味着什么? A. inactive的特征是不执行对应检测的. disabled的特征执行对应检测，但不采取任何动作。   Q. Cisco SDM 2.2 和CiscoWorks IPS MC 2.2的差别? A. Cisco SDM 2.2 是设备管理工具. 每个设备1个配置界面. CiscoWorks IPS MC 2.2 网络管理应用. 可以 CiscoWorks IPS MC 2.2部署多个Cisco IOS IPS 设备的配置 更多信息请看： • Cisco SDM: [url]http://www.cisco.com/en/US/products/sw/secursw/ps5318/index.html[/url] • CiscoWorks IPS MC: [url]http://www.cisco.com/en/US/products/sw/cscowork/ps3990/index.html[/url]   Q. Cisco IDS模块和IOS IPS的差别？ A. IDS网络模块集成IPS 4200检测器，作为IDS的解决方案，不会阻止流量。      IDS网络模块和路由器是相对独立的（模块自带硬盘、Flash、CPU、处理芯片、操作系统），因此不会影响路由器的性能和处理。而IOS IPS系路由器IOS中的一部分功能，使用的路由器的CPU进行处理。 IDS网络模块需要1个NM插槽，支持2600XM、2691、2811、2821、2851、3660、3700、3800平台。   Q. 哪些平台支持IOS IPS? A. Cisco 87x, 18xx, 28xx, 38xx, 2600XM, 2691, 37x5, 72xx 以及7301 支持Cisco IOS IPS 功能.  也不排除未来其它运行IOS的平台增加对该功能的支持。

转载于:https://blog.51cto.com/206565/34987