在RV34x系列路由器上配置入侵防御系统

下载选项

  • PDF     (3.6 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (3.6 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.2 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 3 月 14 日
文档 ID:1552582578065584

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目标

本文档旨在向您展示如何在RV34x系列路由器上配置入侵防御系统(IPS)。

简介

入侵防御系统扫描流量以查找要阻止的已知攻击模式。当数据包和会话流经路由器时,它会监控这些数据包和会话,并扫描每个数据包以匹配任何Cisco IPS签名。当它检测到可疑活动时,它旨在记录或阻止该活动。更新IPS和防病毒数据库及定义非常重要。可以手动或自动更新。

查看思科入侵防御系统上的以下视频:

但是,IPS会影响路由器的性能。通常,它不会影响超文本传输协议(HTTP)和文件传输协议(FTP)流量的总吞吐量,但可以稍微大幅减少并发连接的最大数量。

重要说明:如果路由器当前处于繁重的工作负载中,这可能会加剧问题。

下表列出了各种配置下性能的预期统计信息。这些值应用作指导,因为实际性能可能因多种因素而不同。

  并发连接 连接速率 HTTP吞吐量 FTP吞吐量
默认设置 40000 3000 982MB/秒 981MB/秒
启用APP控制 15000-16000 1300 982MB/秒 981MB/秒
启用防病毒 16000 1500 982MB/秒 981MB/秒
启用IPS 17000 1300 982MB/秒 981MB/秒
启用App Control Antivirus和IPS 15000-16000 1000 982MB/秒 981MB/秒

 

以下字段定义为:

并发连接 — 并发连接的总数。例如,如果您从一个站点下载文件,即一个连接,从Spotify流音频(即另一个连接),则会使其同时进行两个连接。

连接速率 — 可处理的连接请求数/秒。

HTTP/FTP吞吐量 - HTTP和FTP吞吐量是下载速率(以MB/秒为单位)。

除现有应用和网络过滤外,安全许可证已更新为包括IPS保护。要获得安全许可证,需要智能帐户。如果您尚未拥有活动智能帐户,则需要本文档第1部分。

要了解如何在RV34x上配置防病毒软件,请单击此处

适用设备

· RV34x

软件版本

· 1.0.03.x

目录

1.       智能许可

2.       配置入侵防御系统

3.       入侵防御系统签名

4.       入侵防御系统签名表

5.       IPS 状态

6.       更新IPS定义

7.       结论

智能许可

如果您没有活动的智能帐户,则需要继续执行以下步骤。

如果您在配置智能许可证帐户时遇到任何问题或问题,我们的支持团队将帮助您解决潜在问题,并可通过多种方法联系到您。使用您首选的方法联系您,您可以随意。

··       路由器社区: 思科S系列支持社区

··       有关RV34x系列的常见问题: RV34x系列路由器常见问题

··       智能许可证概述: 智能软件许可

··       有关智能许可证的常见问题: 合作伙伴、总代理商和客户的智能许可和智能帐户常见问题

··       提交案例: 支持案例管理器

·美国/加拿大支持电话号码:1-866-606-1866或小型企业 TAC 联系方式

·许可电邮:licensing@cisco.com

步骤1.如果您最近创建或访问了Cisco.com帐户,您会收到一条消息,要求您创建自己的智能许可证帐户。如果没有,可单击此进入智能许可证帐户创建页面。您可能需要登录。

注意:有关申请智能帐户涉及的步骤的其他详细信息,请单击此处

步骤2.为路由器购买智能许可证时,供应商需要执行将唯一许可证ID移至智能许可证帐户的流程。下表列出了购买捆绑包时需要获取的必要信息。

注意:IPS和防病毒是用于网络过滤和应用过滤的安全许可证的一部分。

所需信息 查找信息
Cisco.com用户ID 位于您的帐户简档中,或者您可以点击此处
智能许可证帐户名称 最好在购买许可证之前创建您的智能帐户。 这应是智能许可证帐户创建文章的第8步。
智能许可证SKU 设备的产品标识码。 例如RV340-K9-NA

 

注意:如果您已购买许可证,但该许可证未出现在您的虚拟帐户中,您应跟进经销商,要求他们进行转移或联系我们。

要使流程尽可能方便,您应该有许可证发票、思科销售订单编号和智能帐户许可证页面的屏幕截图(与我们的团队共享)。

步骤3.要生成令牌,请导航至您的智能软件许可证帐户。然后单击“资产”>“常规”选项卡。单击“New Token...(新建令牌……)”按钮。

步骤4.将打开“创建注册令牌”窗口。输入说明后过期和最大。使用次数。然后按“创建令牌”按钮。

注意:建议在30天后到期。

步骤5.生成令牌后,您可以单击最近创建的令牌右侧的“令牌”链接(带白箭头的蓝色框)按钮。

步骤6.应出现一个“令牌”窗口,其中包含要复制的完整令牌。突出显示标记,右键单击标记并单击Copy,或者按住键盘上的ctrl 按钮并同时单击c以复制文本。

步骤7.复制令牌后,您需要登录设备并上传令牌密钥。登录路由器的Web配置页。

步骤8.导航至“许可证”。

步骤9.如果设备未注册,则您的许可证授权状态将列为评估模式。粘贴您从智能许可管理器页面生成的令牌(此部分第6步)然后单击“Register(注册)”。

注意:注册过程可能需要一些时间,请等待完成。

步骤10.注册令牌后,您需要分配许可证。单击“Choose Licenses(选择许可证)”按钮。

步骤11.应出现“选择智能许可证”窗口。检查安全许可证,然后按保存并授权

步骤12.您的全许可证的状态现在应已授权。

现在,您应该可以继续配置入侵防御系统。

配置入侵防御系统

步骤1.如果您尚未登录路由器,请登录路由器的Web配置页面。

步骤2.导航至Security > Threat/IPS > IPS

步骤3.选择On以启用入侵防御系统功能。如果要将其关闭,请选择“关闭”。

在本例中,我们将选择“打开”。

步骤4.选择Block Attacks(Prevention)或Log Only。在本例中,我们将选择Block Attacks(Prevention)。 以下选项定义如下。

··       阻止攻击(防御) — 选择以阻止所有攻击。它还记录异常。

· 仅日志 — 此选项将在识别异常时仅生成日志(带客户端信息、签名ID等)。它不会影响连接。

步骤5.选择要使用的IPS安全级别。以下选项定义为:

· 连接 — 此模式将检测最关键的攻击。这提供了最低保护:仅检测(高严重性)风险攻击。这是最低安全设置选项。

·平衡 — 所选模式将检测严重攻击和关键攻击。这提供中等保护:通过传递低风险签名来检查(高+中严重性)。这是IPS的中级安全。

··       安全 — 安全模式将检测正常攻击以及严重和关键攻击。这提供了最强的保护:检查所有规则(高+中+低严重性)。这是IPS的最高安全级别。

注意:您选择的安全级别越高,受到的攻击越多,对系统性能的影响就越大。

我们将为此演示选择“平衡”。

入侵防御系统签名

步骤6.在“上次更新”字段中,将显示上次更新签名的日期和时间。

kev_22819_rv34xipssignature_step1

步骤7.文件版本显示正在使用的签名版本。

kev_22819_rv34xipssignature_step2

步骤8.要搜索签名ID,请在按IPS搜索签名ID字段中输入签名ID,然后单击搜索以检查是否支持签名。如果支持签名ID,表将按照如下所示的结果进行更新。

注意:如果不支持签名ID,表中将不显示任何内容。

kev_22819_rv34xipssignature_step3

入侵防御系统签名表

步骤9.在IPS签名表中,以下字段定义为:

· Name — 签名的名称。

··       ID — 签名的唯一标识符。点击ID将打开一个窗口,供您查看所选签名的完整详细信息。

·严重性 — 严重性级别表示安全影响。

·类别 — 签名所属的类别。

kev_22819_rv34xipstable_step1

第10步。(可选)如果您单击了IPS签名表中的签名ID,将出现一个窗口,显示所选签名的完整详细信息。

kev_22819_rv34xipstable_step2

步骤11.在IPS签名表的底部,选择箭头以及要在表中来回导航的数字。您还可以在每页行数下拉列表中选择每页行数(50100150)。

kev_22819_rv34xipstable_step3

步骤12.单击Apply将更改保存到运行配置文件。

注意:路由器当前使用的所有配置都在运行配置文件中,该文件是易失性的,在重新启动后不会保留。要在重新启动后保留配置,请将运行配置文件复制到启动配置文件。

在接下来的几个步骤中,我们将向您展示如何将运行配置复制到启动配置。

步骤13.单击页面顶部的软盘(保存)图标。这会将您重定向到配置管理,以将运行配置保存到启动配置。

步骤14.在“配置管理”中,向下滚动到“复制/保存配置”部分。确保源行配置,目标启动配置。单击 Apply。此操作会将运行配置文件复制到启动配置文件,以在重新启动后保留配置。

IPS 状态

步骤1.导航至Security > Threat/IPS > Status

步骤2.配置了防威胁和IPS功能后,Status页面会显示威胁和攻击的详细信息。控制面板提供整个事件摘要的视图,以及按选择检测的威胁和攻击的详细信息,如日、周和月。

步骤3.单击“IPS”选项卡。这将显示前10个受攻击客户端和前10个IPS攻击。

更新IPS定义

您可以手动或自动更新IPS定义。步骤1-2将显示如何手动更新IPS定义,而步骤3-6将显示如何自动更新IPS定义。

最佳实践:建议每周自动更新安全签名。

步骤1.要手动更新IPS定义,请导航至“管理”>“文件管理”

步骤2.向下滚动到“文件管理”页面的“手动升级”部分。选择Signature File for File Type,Cisco.comUpgrade From。然后按升级。这将下载最新的安全签名并安装。

步骤3.要自动更新IPS定义,请导航至System Configuration > Automatic Updates

步骤4.系统将打开“自动更新”页。您可以选择每周或每月检查更新。您可以通过电子邮件或Web UI通知路由器。在本例中,我们将选择每周检查一次。

注意:建议每周自动更新安全签名。

步骤5.向下滚动到“自动更新”部分并查找“安全签名”字段。在“安全签名更新”下拉列表中,选择要自动更新的时间。在本例中,我们将选择“立即

步骤6.单击Apply将更改保存到运行配置文件。

注意:切记单击顶部的软盘图标,导航到“配置管理”页,将运行配置文件复制到启动配置文件。这将有助于在重新启动后保留您的配置。

结论

现在,您应该已在RV34x系列路由器上成功配置了入侵防御系统。

 

修订历史记录

版本 发布日期 备注
1.0
19-Mar-2019
初始版本

此文档是否有帮助?

Feedback反馈

联系我们