IPS设备管理器5.1 — 调整签名

简介

入侵防御系统(IPS)5.1包含1000多个内置默认签名。您不能重命名或从内置签名列表中删除签名，但可以停用签名以从感应引擎中删除它们。稍后可以激活停用的签名。但是，此过程需要传感引擎重建其配置，这需要时间，可能会延迟流量的处理。调整多个签名参数时，可以调整内置签名。已修改的内置签名称为调整签名。

本文档说明使用IPS设备管理器(IDM)调整签名时要使用的步骤。IDM是基于Web的Java应用程序，可用于配置和管理传感器。IDM的Web服务器驻留在传感器上。您可以通过Internet Explorer、Netscape或Mozilla Web浏览器访问它。

注意：您可以创建签名，称为自定义签名。自定义签名ID从60000开始。您可以将其配置为多项操作，例如UDP连接上的字符串匹配、网络泛洪跟踪和扫描。每个签名都使用专为受监控流量类型设计的签名引擎创建。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于Cisco Intrusion Prevention System Device Manager 5.x。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

背景信息

要配置传感器以监控特定签名的网络流量，必须启用签名。默认情况下，在安装签名更新时，最关键的签名会启用。当检测到与已启用签名匹配的攻击时，传感器会生成警报，该警报存储在传感器的事件存储中。警报以及其他事件可由基于Web的客户端从事件存储中检索。默认情况下，传感器记录所有信息警报或更高警报。

某些签名具有子签名。即，将签名划分为子类别。配置子签名时，对一个子签名参数所做的更改仅适用于该子签名。例如，如果编辑签名3050子签名1并更改严重性，则严重性更改仅适用于子签名1，而不适用于3050 2、3050 3和3050 4。

调整签名

+图标表示此参数有更多可用选项。单击+图标展开截面并查看其余参数。

绿色图标表示参数当前使用默认值。单击绿色图标将其更改为红色，这将激活参数字段，以便您编辑值。

分步过程

完成以下步骤以调整签名：

1. 使用具有管理员或操作员权限的帐户登录IDM。

2. 选择Configuration > Signature Definition > Signature Configuration。

   系统将显示Signature Configuration窗格。

3. 要查找签名，请从“选择依据”列表中选择排序选项。

   例如，如果搜索UDP泛洪签名，请选择L2/L3/L4 Protocol，然后选择UDP Floods。

   “签名配置”(Signature Configuration)窗格刷新并仅显示与您的排序条件匹配的签名。

4. 要调整现有签名，请选择签名并完成以下步骤：

   1. 单击Edit打开Edit Signature对话框。

   2. 查看参数值并更改要调整的任何参数的值。

      注意：要选择多个事件操作，请按住Ctrl键。

   3. 在“状态”下，选择是以启用签名。

      注意：必须启用签名，传感器才能主动检测签名指定的攻击。

   4. 在状态下，指定此签名是否已停用。单击No以激活签名。这会将签名放入引擎中。

      注意：必须激活签名，传感器才能主动检测签名指定的攻击。

      注意：单击“取消”以撤消更改并关闭“编辑签名”对话框。

   5. Click OK.

      编辑后的签名现在显示在“类型”(Type)设置为“已调整”(Tuned)的列表中。

      注意：如果要撤消更改，请单击“重置”。

5. 单击Apply以应用更改并保存修订的配置。

相关信息

• Cisco Intrusion Prevention System
• 技术支持和文档 - Cisco Systems