安全 : Cisco Security Manager

CSM 3.x :添加IDS传感器和模块到安全管理器库存

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

本文提供信息关于怎样添加入侵检测系统(IDS)传感器和模块(包括IDSM在Catalyst 6500交换机, NM-CIDS在路由器和AIP-SSM在ASA)在Cisco Security Manager (CSM)。

注意: CSM 3.2不支持IPS 6.2。CSM 3.3支持它。

先决条件

要求

本文假设, CSM和IDS设备适当地安装并且工作。

使用的组件

本文档中的信息根据CSM 3.0.1。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

添加设备到安全经理库存

当您添加一个设备到安全经理时,您带来范围识别设备的信息,例如其DNS名和IP地址。在您添加设备后,在安全经理设备明细看起来。在您添加它到库存之后,您能管理在安全经理的一个设备。

您能添加设备到与这些方法的安全经理库存:

  • 从网络添加一个设备。

  • 添加不在网络的一新设备

  • 从设备和凭证信息库(DCR)添加一个或更多设备。

  • 从配置文件添加一个或更多设备。

注意: 本文着重方法:添加不在网络的一新设备。

步骤添加IDS传感器和模块

请使用添加新设备选项为了添加单个设备到安全经理库存。您能使用此选项预供应。在您接收设备硬件前,您能创建在系统的设备,分配策略到设备和生成配置文件。

当您接收设备硬件时,您必须准备安全经理将管理的设备。欲知更多信息,参考准备安全经理的设备能管理

此步骤显示如何添加新的IDS传感器和模块:

  1. 点击在工具栏的设备视图按钮。

    设备页出版。

  2. 点击Add按钮在设备选择器。

    新设备-选择方法页显现四个选项。

  3. 选择添加新设备,然后其次单击。

    新设备-设备信息页出版。

  4. 在适当的域输入设备信息。

    请参阅提供的设备信息—新设备部分欲知更多信息。

  5. 单击 完成

    系统执行设备验证任务:

    • 如果数据不正确,系统生成错误消息并且显示错误发生在一个红色错误图标对应于它的页。

    • 如果数据正确,设备被添加到库存,并且在设备选择器看起来。

提供设备信息—新设备

完成这些步骤:

  1. 选择新设备的设备类型:

    1. 选择顶层设备类型文件夹为了显示支持的设备家族。

    2. 选择设备系列文件夹为了显示支持的设备设备类型。

      1. 选择思科接口和模块>思科网络模块为了添加Cisco IDS接入路由器网络模块。同样,请选择思科接口和模块>思科服务模块为了添加显示的AIP-SSM和IDSM模块。

      2. 选择安全与VPN > Cisco IPS 4200系列传感器为了添加Cisco IDS 4210 Sensor到CSM库存。

        /image/gif/paws/91671/csm-ids-smi1.gif

    3. 选择设备类型。

      注意: 在您添加一个设备后,您不能更改设备类型。

      该设备类型的系统对象ID在Sysobjectid字段显示。默认情况下第一系统对象ID选择。若需要您能选择另一个。

  2. 输入设备身份信息,例如IP类型(静态或动态),主机名、域名、IP地址和显示名称。

  3. 输入设备操作系统的信息,例如OS类型、镜像名称、目标OS版本、上下文和操作模式。

  4. 自动更新或CNS配置引擎领域出现,取决于设备类型您选择:

    • 自动更新—显示为PIX防火墙和ASA设备。

    • CNS配置引擎—显示为思科IOSï ¿  ½路由器。

    注意: 此字段为Catalyst 6500/7600和FWSM设备不是活跃的。

  5. 完成这些步骤:

    • 自动更新—点击箭头显示服务器列表。选择管理设备的服务器。如果服务器在列表没出现,请完成这些步骤:

      1. 点击箭头,然后选择+添加服务器…服务器属性对话框出现。

      2. 在必填字段输入信息。

      3. 单击 Ok。新的服务器被添加到可用的服务器列表。

    • CNS配置引擎—不同的信息显示,取决于您是否选择静态或动态IP类型:

      静态—点击箭头显示配置引擎列表。选择管理设备的配置引擎。如果配置引擎在列表没出现,请完成这些步骤:

      1. 点击箭头,然后选择+添加配置引擎…配置引擎Properties对话框出现。

      2. 在必填字段输入信息。

      3. 单击 Ok。新的配置引擎被添加到可用配置引擎列表。

    • 动态—点击箭头显示服务器列表。选择管理设备的服务器。如果服务器在列表没出现,请完成这些步骤:

      1. 点击箭头,然后选择+添加服务器…服务器属性对话框出现。

      2. 在必填字段输入信息。

      3. 单击 Ok。新的服务器被添加到可用的服务器列表。

  6. 完成这些步骤:

    • 为了管理在安全经理的设备,请检查在Cisco Security Manager复选框的管理。这是默认设置。

    • 如果您添加设备的唯一的功能将担当VPN端点,不选定在Cisco Security Manager复选框的管理

      安全经理不会管理配置也不会上传也下载在此设备的配置。

  7. 检查不受管理设备复选框安全上下文为了管理安全上下文, parent设备(PIX防火墙、ASA或者FWSM)没有由安全经理管理。

    您能分成PIX防火墙、ASA或者FWSM到多个安全防火墙,亦称安全上下文。每上下文是一独立系统,有其自己的配置和策略的。您能管理安全经理的这些独立上下文,即使parent (PIX防火墙、ASA或者FWSM)没有由安全经理管理。

    注意: 此字段是活跃的,只有当您在设备选择器选择的设备是一个防火墙设备,例如PIX防火墙、ASA或者FWSM,该支持安全上下文。

  8. 检查在IPS管理器复选框的管理为了管理在IPS管理器的一个Cisco IOS路由器。

    只有当选择从设备选择器的一个Cisco IOS路由器此字段是活跃的。

    注意: 有IPS功能的IPS管理器能管理IPS仅功能在Cisco IOS路由器。欲知更多信息,请参阅IPS文档。

    如果检查在IPS管理器复选框的管理,您必须也检查在Cisco Security Manager复选框的管理。

    如果所选设备是IDS,此字段不是活跃的。然而,因为IPS管理器管理IDS传感器,复选框被检查。

    如果所选设备是PIX防火墙、ASA或者FWSM,此字段不是活跃的,因为IPS管理器不管理这些设备类型。

  9. 单击 完成

    系统执行设备验证任务:

    • 如果您输入的数据不正确,系统生成错误消息并且显示错误出现的页。

    • 如果您输入的数据正确,设备被添加到库存,并且在设备选择器看起来。

故障排除

使用本部分可排除配置故障。

错误消息

当您添加IPS到CSM,无效设备:不能推导平台类型错误消息的SysObjId出现。

解决方案

完成这些步骤为了解决此错误消息。

  1. 终止在Windows的CSM守护进程服务,然后选择程序文件> CSCOpx > MDC >雅典娜>config >目录,您能找到VMSSysObjID.xml。

  2. 默认情况下在CSM系统上,请用最新的VMSSysObjID.xml文件替换在C:\Program Files\CSCOpx\MDC\athena\config\directory查找的原始VMSSysObjID.xml文件

  3. 重新启动CSM守护程序管理器服务(Crmdmgtd),并且再试添加或再发现受影响的设备。


相关信息


Document ID: 91671