本文档提供有关如何在思科安全管理器(CSM)中添加入侵检测系统(IDS)传感器和模块(包括Catalyst 6500交换机上的IDSM、路由器上的NM-CIDS和ASA上的AIP-SSM)的信息。
注意:CSM 3.2不支持IPS 6.2。CSM 3.3支持IPS 6.2。
本文档假设CSM和IDS设备已安装且工作正常。
本文档中的信息基于CSM 3.0.1。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
将设备添加到安全管理器时,会输入设备的一系列标识信息,例如其DNS名称和IP地址。添加设备后,该设备会显示在安全管理器设备清单中。只有将设备添加到资产后,才能在安全管理器中管理设备。
您可以使用以下方法将设备添加到安全管理器资产:
从网络添加设备。
添加尚未在网络上的新设备
从设备和凭证存储库(DCR)添加一个或多个设备。
从配置文件添加一个或多个设备。
注意:本文档重点介绍以下方法:添加新设备,但该设备尚未在网络中。
使用Add New Device选项将单个设备添加到安全管理器资产。您可以使用此选项进行预调配。您可以在系统中创建设备,为设备分配策略,并在收到设备硬件之前生成配置文件。
收到设备硬件时,必须准备由安全管理器管理的设备。有关详细信息,请参阅为安全管理器准备设备管理。
此过程显示如何添加新的IDS传感器和模块:
单击工具栏中的“设备视图”按钮。
系统将显示Devices页面。
单击“设备”选择器中的“添加”按钮。
系统将显示New Device - Choose Method页面,其中包含四个选项。
选择Add New Device,然后单击Next。
系统将显示New Device - Device Information页面。
在适当的字段中输入设备信息。
有关详细信息,请参阅提供设备信息 — 新设备部分。
单击 完成。
系统执行设备验证任务:
如果数据不正确,系统会生成错误消息并显示发生错误的页面,并显示与其对应的红色错误图标。
如果数据正确,设备会添加到资产中,并显示在设备选择器中。
请完成以下步骤:
为新设备选择设备类型:
选择顶级设备类型文件夹以显示支持的设备系列。
选择设备系列文件夹以显示支持的设备类型。
选择Cisco Interfaces and Modules > Cisco Network Modules以添加Cisco IDS接入路由器网络模块。同样,选择Cisco Interfaces and Modules > Cisco Services Modules,以添加图中所示的AIP-SSM和IDSM模块。
选择Security and VPN > Cisco IPS 4200 Series Sensors,以将Cisco IDS 4210 Sensor添加到CSM资产。
选择设备类型。
注意:添加设备后,无法更改设备类型。
该设备类型的系统对象ID显示在SysObjectId字段中。默认情况下,会选择第一个系统对象ID。如果需要,可以选择另一个。
输入设备身份信息,如IP类型(静态或动态)、主机名、域名、IP地址和显示名称。
输入设备操作系统信息,如操作系统类型、映像名称、目标操作系统版本、情景和操作模式。
系统将显示Auto Update or CNS-Configuration Engine字段,具体取决于您选择的设备类型:
自动更新(Auto Update) — 显示用于PIX防火墙和ASA设备。
CNS-Configuration Engine — 显示给Cisco IOS®路由器。
注意:此字段对于Catalyst 6500/7600和FWSM设备不活动。
请完成以下步骤:
自动更新 — 点击箭头以显示服务器列表。选择管理设备的服务器。如果服务器未出现在列表中,请完成以下步骤:
单击箭头,然后选择+添加服务器……系统将显示“服务器属性”对话框。
在必填字段中输入信息。
Click OK.新服务器将添加到可用服务器列表。
CNS-Configuration Engine — 显示不同的信息,具体取决于您是选择静态IP类型还是动态IP类型:
静态 — 单击箭头显示配置引擎列表。选择管理设备的配置引擎。如果配置引擎未出现在列表中,请完成以下步骤:
单击箭头,然后选择+添加配置引擎……系统将显示配置引擎属性对话框。
在必填字段中输入信息。
Click OK.新配置引擎将添加到可用配置引擎列表。
动态(Dynamic) — 单击箭头以显示服务器列表。选择管理设备的服务器。如果服务器未出现在列表中,请完成以下步骤:
单击箭头,然后选择+添加服务器……系统将显示“服务器属性”对话框。
在必填字段中输入信息。
Click OK.新服务器将添加到可用服务器列表。
请完成以下步骤:
要在安全管理器中管理设备,请选中在思科安全管理器中管理复选框。这是默认设置。
如果要添加的设备的唯一功能是用作VPN端点,请取消选中Manage in Cisco Security Manager(在思科安全管理器中管理)复选框。
安全管理器将不管理此设备上的配置,也不上传或下载配置。
选中Security Context of Unmanaged Device复选框以管理其父设备(PIX防火墙、ASA或FWSM)未由安全管理器管理的安全情景。
您可以将PIX防火墙、ASA或FWSM分区为多个安全防火墙,也称为安全情景。每个情景都是一个独立的系统,具有自己的配置和策略。您可以在安全管理器中管理这些独立情景,即使父级(PIX防火墙、ASA或FWSM)不由安全管理器管理。
注意:仅当您在设备选择器中选择的设备是支持安全上下文的防火墙设备(如PIX防火墙、ASA或FWSM)时,此字段才处于活动状态。
选中Manage in IPS Manager复选框,以便在IPS Manager中管理Cisco IOS路由器。
仅当您从设备选择器中选择了Cisco IOS路由器时,此字段才处于活动状态。
注意:IPS Manager只能在具有IPS功能的Cisco IOS路由器上管理IPS功能。有关详细信息,请参阅IPS文档。
如果选中Manage in IPS Manager复选框,则还必须选中Manage in Cisco Security Manager复选框。
如果所选设备为IDS,则此字段不处于活动状态。但是,由于IPS管理器管理IDS传感器,因此选中此复选框。
如果所选设备是PIX防火墙、ASA或FWSM,则此字段不处于活动状态,因为IPS管理器不管理这些设备类型。
单击 完成。
系统执行设备验证任务:
如果输入的数据不正确,系统会生成错误消息并显示发生错误的页面。
如果您输入的数据正确,设备会添加到资产中,并显示在设备选择器中。
使用本部分可排除配置故障。
将IPS添加到CSM时,出现“Invalid device:(设备无效:)”出现“Could not defericate the SysObjId for the platform type(无法推断平台类型的SysObjId)”错误消息。
解决方案
请完成以下步骤以解决此错误消息。
在Windows中停止CSM后台守护程序服务,然后选择Program Files > CSCOpx > MDC > athena > config > Directory,在此可以找到VMS-SysObjID.xml。
在CSM系统上,将默认位于C:\Program Files\CSCOpx\MDC\athena\config\directory的原始VMS-SysObjID.xml文件替换为最新的VMS-SysObjID.xml文件。
重新启动CSM守护程序管理器服务(CRMDmgtd),然后重新尝试添加或发现受影响的设备。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
21-May-2007 |
初始版本 |