入侵防御系统(IPS)5.1包含1000多个内置默认签名。您不能重命名或从内置签名列表中删除签名,但可以停用签名以从感应引擎中删除它们。稍后可以激活停用的签名。但是,此过程需要传感引擎重建其配置,这需要时间,可能会延迟流量的处理。调整多个签名参数时,可以调整内置签名。已修改的内置签名称为调整签名。
本文档说明使用IPS设备管理器(IDM)调整签名时要使用的步骤。IDM是基于Web的Java应用程序,可用于配置和管理传感器。IDM的Web服务器驻留在传感器上。您可以通过Internet Explorer、Netscape或Mozilla Web浏览器访问它。
注意:您可以创建签名,称为自定义签名。自定义签名ID从60000开始。您可以将其配置为多项操作,例如UDP连接上的字符串匹配、网络泛洪跟踪和扫描。每个签名都使用专为受监控流量类型设计的签名引擎创建。
本文档没有任何特定的要求。
本文档中的信息基于Cisco Intrusion Prevention System Device Manager 5.x。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
要配置传感器以监控特定签名的网络流量,必须启用签名。默认情况下,在安装签名更新时,最关键的签名会启用。当检测到与已启用签名匹配的攻击时,传感器会生成警报,该警报存储在传感器的事件存储中。警报以及其他事件可由基于Web的客户端从事件存储中检索。默认情况下,传感器记录所有信息警报或更高警报。
某些签名具有子签名。即,将签名划分为子类别。配置子签名时,对一个子签名参数所做的更改仅适用于该子签名。例如,如果编辑签名3050子签名1并更改严重性,则严重性更改仅适用于子签名1,而不适用于3050 2、3050 3和3050 4。
+图标表示此参数有更多可用选项。单击+图标展开截面并查看其余参数。
绿色图标表示参数当前使用默认值。单击绿色图标将其更改为红色,这将激活参数字段,以便您编辑值。
完成以下步骤以调整签名:
使用具有管理员或操作员权限的帐户登录IDM。
选择Configuration > Signature Definition > Signature Configuration。
系统将显示Signature Configuration窗格。
要查找签名,请从“选择依据”列表中选择排序选项。
例如,如果搜索UDP泛洪签名,请选择L2/L3/L4 Protocol,然后选择UDP Floods。
“签名配置”(Signature Configuration)窗格刷新并仅显示与您的排序条件匹配的签名。
要调整现有签名,请选择签名并完成以下步骤:
单击Edit打开Edit Signature对话框。
查看参数值并更改要调整的任何参数的值。
注意:要选择多个事件操作,请按住Ctrl键。
在“状态”下,选择是以启用签名。
注意:必须启用签名,传感器才能主动检测签名指定的攻击。
在状态下,指定此签名是否已停用。单击No以激活签名。这会将签名放入引擎中。
注意:必须激活签名,传感器才能主动检测签名指定的攻击。
注意:单击“取消”以撤消更改并关闭“编辑签名”对话框。
Click OK.
编辑后的签名现在显示在“类型”(Type)设置为“已调整”(Tuned)的列表中。
注意:如果要撤消更改,请单击“重置”。
单击Apply以应用更改并保存修订的配置。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
07-Apr-2007 |
初始版本 |