IPS 6.X及更高版本 — 使用IME配置虚拟传感器
目录
简介
本文档介绍分析引擎的功能,以及如何使用Cisco IPS Manager Express(IME)在思科安全入侵防御系统(IPS)上创建、编辑和删除虚拟传感器。 本章还介绍如何为虚拟传感器分配接口。
注意:AIM-IPS和NME-IPS不支持虚拟化。
先决条件
要求
本文档没有任何特定的前提条件。
使用的组件
本文档中的信息基于以下软件和硬件版本:
-
运行软件版本6.0及更高版本的Cisco 4200系列IPS设备
-
Cisco IPS Manager Express(IME)6.1.1版及更高版本
注意:虽然IME可用于监控运行Cisco IPS 5.0及更高版本的传感器设备,但IME中提供的一些新特性和功能仅在运行Cisco IPS 6.1或更高版本的传感器上受支持。
注意:Cisco安全入侵防御系统(IPS)5.x仅支持默认虚拟传感器vs0。IPS 6.x及更高版本支持除默认vs0之外的虚拟传感器。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
相关产品
此配置也可用于以下传感器:
-
IPS-4240
-
IPS-4255
-
IPS-4260
-
IPS-4270-20
-
AIP-SSM
规则
有关文档约定的更多信息,请参考 Cisco 技术提示约定。
背景信息
关于分析引擎
分析引擎执行数据包分析和警报检测。它监控通过指定接口的流量。在分析引擎中创建虚拟传感器。每个虚拟传感器都有一个唯一名称,其中包含接口、内联接口对、内联VLAN对和与其关联的VLAN组的列表。为避免定义排序问题,分配中不允许出现冲突或重叠。将接口、内联接口对、内联VLAN对和VLAN组分配给特定虚拟传感器,以便不会有数据包由多个虚拟传感器处理。每个虚拟传感器还与特别命名的签名定义、事件操作规则和异常检测配置相关联。来自接口、内联接口对、内联VLAN对和未分配给任何虚拟传感器的VLAN组的数据包将根据内联旁路配置进行处理。
关于虚拟传感器
传感器可以从一个或多个监控数据流接收数据输入。这些受监控数据流可以是物理接口端口或虚拟接口端口。例如,单个传感器可以同时监控来自防火墙前面、防火墙后面或防火墙前面和后面的流量。一个传感器可以监控一个或多个数据流。在这种情况下,单个传感器策略或配置将应用于所有受监控的数据流。虚拟传感器是由一组配置策略定义的数据集合。虚拟传感器被应用到由接口组件定义的一组数据包。虚拟传感器可以监控多个网段,并且可以对单个物理传感器内的每个虚拟传感器应用不同的策略或配置。您可以为分析中的每个受监控网段设置不同的策略。您还可以将相同的策略实例(例如sig0、rules0或ad0)应用到不同的虚拟传感器。您可以将接口、内联接口对、内联VLAN对和VLAN组分配给虚拟传感器。
注意:思科安全入侵防御系统(IPS)不支持四个以上的虚拟传感器。默认虚拟传感器为vs0。不能删除默认虚拟传感器。接口列表、异常检测操作模式、内联TCP会话跟踪模式和虚拟传感器描述是可更改默认虚拟传感器的唯一配置功能。您不能更改签名定义、事件操作规则或异常检测策略。
虚拟化的优势和限制
虚拟化的优势
虚拟化具有以下优势:
-
您可以将不同的配置应用于不同的流量集。
-
您可以使用一个传感器监控两个IP空间重叠的网络。
-
您可以监控防火墙或NAT设备的内部和外部。
虚拟化限制
虚拟化有以下限制:
-
必须将非对称流量的两端分配给同一虚拟传感器。
-
在VLAN标记方面,VACL捕获或SPAN(混杂监控)的使用不一致,这会导致VLAN组出现问题。
-
使用Cisco IOS软件时,VACL捕获端口或SPAN目标并不总是接收标记数据包,即使它已配置为中继。
-
使用MSFC时,所学习路由的快速路径交换会更改VACL捕获和SPAN的行为。
-
-
持久存储有限。
虚拟化要求
虚拟化具有以下流量捕获要求:
-
虚拟传感器必须接收具有802.1q报头的流量,捕获端口的本征VLAN上的流量除外。
-
对于任何给定传感器,传感器必须在同一虚拟传感器中看到同一VLAN组中的两个流量方向。
配置
在本节中,您将获得添加、编辑和删除虚拟传感器的信息。
添加虚拟传感器
在服务分析引擎子模式下发出virtual-sensor name命令以创建虚拟传感器。将策略(异常检测、事件操作规则和签名定义)分配给虚拟传感器。然后,将接口(混杂、内联接口对、内联VLAN对和VLAN组)分配给虚拟传感器。必须先配置内联接口对和VLAN对,然后才能将它们分配给虚拟传感器。这些选项适用:
-
异常检测 — 异常检测参数。
-
anomaly-detection-name name — 异常检测策略的名称
-
operational-mode — 异常检测模式(非活动、学习、检测)
-
-
description — 虚拟传感器的说明
-
event-action-rules — 事件操作规则策略的名称
-
inline-TCP-evasion-protection-mode — 用于选择流量检测所需的规范器模式类型:
-
非对称 — 只能看到双向流量的一个方向。非对称模式保护可放松TCP层的逃避保护。
注意:非对称模式使传感器可以将状态与流同步,并维护对不需要两个方向的引擎的检查。非对称模式会降低安全性,因为完全保护要求查看流量的两端。
-
strict — 如果数据包因任何原因丢失,则不处理丢失数据包后的所有数据包。严格的规避保护可以全面实施TCP状态和序列跟踪。
注意:任何无序数据包或丢失的数据包都可以生成规范器引擎签名1300或1330开启,这些签名会尝试更正此情况,但可能导致连接被拒绝。
-
-
inline-TCP-session-tracking-mode — 允许在内联流量中识别重复TCP会话的高级方法。默认为虚拟传感器,几乎总是最佳选择。
-
virtual-sensor — 虚拟传感器中具有相同会话密钥(AaBb)的所有数据包属于同一会话。
-
interface-and-vlan — 在同一VLAN(或内联VLAN对)和同一接口上具有相同会话密钥(AaBb)的所有数据包属于同一会话。具有相同密钥但位于不同VLAN或接口的数据包将独立跟踪。
-
vlan-only — 所有具有相同会话密钥(AaBb)的数据包位于同一VLAN(或内联VLAN对)中,而不管接口属于同一会话。具有相同密钥但位于不同VLAN的数据包会独立跟踪。
-
-
signature-definition — 签名定义策略的名称
-
logical-interfaces — 逻辑接口的名称(内联接口对)
-
physical-interfaces — 物理接口的名称(混杂、内联VLAN对和VLAN组)
-
subinterface-number — 物理子接口编号。如果子接口类型为none,则值0表示整个接口在混杂模式下分配。
-
no — 删除条目或选择
-
要添加虚拟传感器,请完成以下步骤:
-
使用具有管理员权限的帐户登录CLI。
-
进入服务分析模式。
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)# -
添加虚拟传感器。
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# -
添加此虚拟传感器的说明。
sensor(config-ana-vir)# description virtual sensor 2
-
为此虚拟传感器分配异常检测策略和操作模式。
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad1 sensor(config-ana-vir-ano)# operational-mode learn -
将事件操作规则策略分配给此虚拟传感器。
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules1 -
为此虚拟传感器分配签名定义策略。
sensor(config-ana-vir)# signature-definition sig1
-
分配内联TCP会话跟踪模式。
sensor(config-ana-vir)# inline-TCP-session-tracking-mode virtual-sensor
默认为虚拟传感器模式,它几乎总是最佳选择。
-
分配内联TCP规避保护模式。
sensor(config-ana-vir)# inline-TCP-evasion-protection-mode strict
默认为严格模式,这几乎总是最佳选择。
-
显示可用接口的列表。
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interfacesensor(config-ana-vir)# logical-interface ? <none available> -
分配要添加到此虚拟传感器的混杂模式接口。
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
对要分配给此虚拟传感器的所有混杂接口重复此步骤。
-
分配要添加到此虚拟传感器的内联接口对。
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
您必须已将接口配对。
-
分配要添加到此虚拟传感器的内联VLAN对或组的子接口,如下所示:
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
您必须已将任何接口细分为VLAN对或组。
-
检验虚拟传感器设置。
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: virtual-sensor default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)# -
出口分析引擎模式。
sensor(config-ana-vir)# exit sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]: -
按Enter以应用更改,或输入no以放弃更改。
这完成了向思科安全入侵防御系统(IPS)添加虚拟传感器的过程。 完成相同步骤以添加更多虚拟传感器。
注意:思科安全入侵防御系统(IPS)不支持四个以上的虚拟传感器。默认虚拟传感器为vs0。
使用IME添加虚拟传感器
要使用Cisco IPS Manager Express在思科安全入侵防御系统(IPS)上配置虚拟传感器,请完成以下步骤:
-
选择Configuration > SFO-Sensor> Policies> IPS Policies。然后,单击“Add virtual sensor(添加虚拟传感器)” ,如屏幕截图所示。
-
将虚拟传感器命名(本例中为vs2),并在提供的空间中为虚拟传感器添加说明。同时分配要添加到此虚拟传感器的混杂模式接口。此处选择千兆以太网0/2。现在,在签名定义、事件操作规则、异常检测和高级选项部分提供详细信息,如屏幕截图所示。
在高级选项下,提供有关TCP会话跟踪模式和规范器模式的详细信息。此处,TCP会话跟踪模式是虚拟传感器,而规范器模式是严格规避保护模式。
-
Click OK.
-
新添加的虚拟传感器vs2显示在虚拟传感器列表中。单击Apply以将要发送到思科安全入侵防御系统(IPS)的新虚拟传感器配置。
完成添加虚拟传感器的配置。
编辑虚拟传感器
可以编辑虚拟传感器的以下参数:
-
签名定义策略
-
事件操作规则策略
-
异常检测策略
-
异常检测操作模式
-
内联TCP会话跟踪模式
-
描述
-
分配的接口
要编辑虚拟传感器,请完成以下步骤:
-
使用具有管理员权限的帐户登录CLI。
-
进入服务分析模式。
sensor# configure terminal sensor(config)# service analysis-engine sensor(config-ana)# -
编辑虚拟传感器vs1。
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# -
编辑此虚拟传感器的说明。
sensor(config-ana-vir)# description virtual sensor A
-
更改分配给此虚拟传感器的异常检测策略和操作模式。
sensor(config-ana-vir)# anomaly-detection sensor(config-ana-vir-ano)# anomaly-detection-name ad0 sensor(config-ana-vir-ano)# operational-mode learn -
更改分配给此虚拟传感器的事件操作规则策略。
sensor(config-ana-vir-ano)# exit sensor(config-ana-vir)# event-action-rules rules0 -
更改分配给此虚拟传感器的签名定义策略。
sensor(config-ana-vir)# signature-definition sig0
-
更改内联TCP会话跟踪模式。
sensor(config-ana-vir)# inline-TCP-session-tracking-mode interface-and-vlan
默认为虚拟传感器模式,它几乎总是最佳选择。
-
显示可用接口的列表。
sensor(config-ana-vir)# physical-interface ? GigabitEthernet0/0 GigabitEthernet0/0 physical interface. GigabitEthernet0/1 GigabitEthernet0/1 physical interface. GigabitEthernet2/0 GigabitEthernet0/2 physical interface. GigabitEthernet2/1 GigabitEthernet0/3 physical interface. sensor(config-ana-vir)# physical-interfacesensor(config-ana-vir)# logical-interface ? <none available> -
更改分配给此虚拟传感器的混杂模式接口。
sensor(config-ana-vir)# physical-interface GigabitEthernet0/2
-
更改分配给此虚拟传感器的内联接口对。
sensor(config-ana-vir)# logical-interface inline_interface_pair_name
您必须已将接口配对。
-
使用分配给此虚拟传感器的内联VLAN对或组更改子接口。
sensor(config-ana-vir)# physical-interface GigabitEthernet2/0 subinterface-number subinterface_number
您必须已将任何接口细分为VLAN对或组。
-
验证编辑的虚拟传感器设置。
sensor(config-ana-vir)# show settings name: vs2 ----------------------------------------------- description: virtual sensor 1 default: signature-definition: sig1 default: sig0 event-action-rules: rules1 default: rules0 anomaly-detection ----------------------------------------------- anomaly-detection-name: ad1 default: ad0 operational-mode: learn default: detect ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 2) ----------------------------------------------- name: GigabitEthernet0/2 subinterface-number: 0 <defaulted> ----------------------------------------------- inline-TCP-session-tracking-mode: interface-and-vlan default: virtual-sensor ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- ----------------------------------------------- sensor(config-ana-vir)# -
出口分析引擎模式。
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]: -
按Enter以应用更改,或输入no以放弃更改。
使用IME编辑虚拟传感器
要使用Cisco IPS Manager Express编辑思科安全入侵防御系统(IPS)上的虚拟传感器,请完成以下步骤:
-
选择Configuration > SFO-Sensor> Policies> IPS Policies。
-
选择要编辑的虚拟传感器,然后单击“编辑”,如屏幕截图所示。在本示例中,vs2是要编辑的虚拟传感器。
-
在“编辑虚拟传感器”窗口中,更改签名定义、事件操作规则、异常检测和高级选项部分下的虚拟传感器参数。单击 OK,然后单击 Apply。
完成编辑虚拟传感器的过程。
删除虚拟传感器
要删除虚拟传感器,请完成以下步骤:
-
要删除虚拟传感器,请发出no virtual-sensor命令。
sensor(config-ana)# virtual-sensor vs2 sensor(config-ana-vir)# sensor(config-ana-vir)# exit sensor(config-ana)# no virtual-sensor vs2 -
验证已删除的虚拟传感器。
sensor(config-ana)# show settings global-parameters ----------------------------------------------- ip-logging ----------------------------------------------- max-open-iplog-files: 20 <defaulted> ----------------------------------------------- ----------------------------------------------- virtual-sensor (min: 1, max: 255, current: 2) ----------------------------------------------- <protected entry> name: vs0 <defaulted> ----------------------------------------------- description: default virtual sensor <defaulted> signature-definition: sig0 <protected> event-action-rules: rules0 <protected> anomaly-detection ----------------------------------------------- anomaly-detection-name: ad0 <protected> operational-mode: detect <defaulted> ----------------------------------------------- physical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- logical-interface (min: 0, max: 999999999, current: 0) ----------------------------------------------- ----------------------------------------------- sensor(config-ana)#仅存在默认虚拟传感器vs0。
-
出口分析引擎模式。
sensor(config-ana)# exit sensor(config)# Apply Changes:?[yes]:
使用IME删除虚拟传感器
要使用Cisco IPS Manager Express删除Cisco安全入侵防御系统(IPS)上的虚拟传感器,请完成以下步骤:
-
选择Configuration > SFO-Sensor> Policies> IPS Policies。
-
选择要删除的虚拟传感器,然后单击Delete,如屏幕截图所示。在本示例中,vs2是要删除的虚拟传感器。
这完成了删除虚拟传感器的过程。虚拟传感器vs2被删除。
故障排除
IPS Manager Express不启动
问题
当尝试通过IME访问IPS时,IPS Manager Express不会启动,并收到以下错误消息:
"Cannot start IME client. Please check if it is already started. Exception: Address already in use: Cannot bind"
解决方案
要解决此问题,请重新加载IME工作站PC。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
22-Dec-2009 |
初始版本 |
反馈