本文档旨在向您展示如何在RV34x系列路由器上配置入侵防御系统(IPS)。
入侵防御系统扫描流量以查找要阻止的已知攻击模式。当数据包和会话流经路由器时,它会监控这些数据包和会话,并扫描每个数据包以匹配任何Cisco IPS签名。当它检测到可疑活动时,它旨在记录或阻止该活动。更新IPS和防病毒数据库及定义非常重要。可以手动或自动更新。
查看思科入侵防御系统上的以下视频:
但是,IPS会影响路由器的性能。通常,它不会影响超文本传输协议(HTTP)和文件传输协议(FTP)流量的总吞吐量,但可以稍微大幅减少并发连接的最大数量。
重要说明:如果路由器当前处于繁重的工作负载中,这可能会加剧问题。
下表列出了各种配置下性能的预期统计信息。这些值应用作指导,因为实际性能可能因多种因素而不同。
并发连接 | 连接速率 | HTTP吞吐量 | FTP吞吐量 | |
默认设置 | 40000 | 3000 | 982MB/秒 | 981MB/秒 |
启用APP控制 | 15000-16000 | 1300 | 982MB/秒 | 981MB/秒 |
启用防病毒 | 16000 | 1500 | 982MB/秒 | 981MB/秒 |
启用IPS | 17000 | 1300 | 982MB/秒 | 981MB/秒 |
启用App Control Antivirus和IPS | 15000-16000 | 1000 | 982MB/秒 | 981MB/秒 |
以下字段定义为:
并发连接 — 并发连接的总数。例如,如果您从一个站点下载文件,即一个连接,从Spotify流音频(即另一个连接),则会使其同时进行两个连接。
连接速率 — 可处理的连接请求数/秒。
HTTP/FTP吞吐量 - HTTP和FTP吞吐量是下载速率(以MB/秒为单位)。
除现有应用和网络过滤外,安全许可证已更新为包括IPS保护。要获得安全许可证,需要智能帐户。如果您尚未拥有活动智能帐户,则需要本文档第1部分。
要了解如何在RV34x上配置防病毒软件,请单击此处。
· RV34x
· 1.0.03.x
1. 智能许可
2. 配置入侵防御系统
3. 入侵防御系统签名
4. 入侵防御系统签名表
5. IPS 状态
6. 更新IPS定义
7. 结论
如果您没有活动的智能帐户,则需要继续执行以下步骤。
如果您在配置智能许可证帐户时遇到任何问题或问题,我们的支持团队将帮助您解决潜在问题,并可通过多种方法联系到您。使用您首选的方法联系您,您可以随意。
·· 路由器社区: 思科S系列支持社区
·· 有关RV34x系列的常见问题: RV34x系列路由器常见问题
·· 智能许可证概述: 智能软件许可
·· 有关智能许可证的常见问题: 合作伙伴、总代理商和客户的智能许可和智能帐户常见问题
·· 提交案例: 支持案例管理器
·美国/加拿大支持电话号码:1-866-606-1866或小型企业 TAC 联系方式
·许可电邮:licensing@cisco.com
步骤1.如果您最近创建或访问了Cisco.com帐户,您会收到一条消息,要求您创建自己的智能许可证帐户。如果没有,可单击此处进入智能许可证帐户创建页面。您可能需要登录。
注意:有关申请智能帐户涉及的步骤的其他详细信息,请单击此处。
步骤2.为路由器购买智能许可证时,供应商需要执行将唯一许可证ID移至智能许可证帐户的流程。下表列出了购买捆绑包时需要获取的必要信息。
注意:IPS和防病毒是用于网络过滤和应用过滤的安全许可证的一部分。
所需信息 | 查找信息 |
Cisco.com用户ID | 位于您的帐户简档中,或者您可以点击此处。 |
智能许可证帐户名称 | 最好在购买许可证之前创建您的智能帐户。 这应是智能许可证帐户创建文章的第8步。 |
智能许可证SKU | 设备的产品标识码。 例如RV340-K9-NA |
注意:如果您已购买许可证,但该许可证未出现在您的虚拟帐户中,您应跟进经销商,要求他们进行转移或联系我们。
要使流程尽可能方便,您应该有许可证发票、思科销售订单编号和智能帐户许可证页面的屏幕截图(与我们的团队共享)。
步骤3.要生成令牌,请导航至您的智能软件许可证帐户。然后单击“资产”>“常规”选项卡。单击“New Token...(新建令牌……)”按钮。
步骤4.将打开“创建注册令牌”窗口。输入说明、后过期和最大。使用次数。然后按“创建令牌”按钮。
注意:建议在30天后到期。
步骤5.生成令牌后,您可以单击最近创建的令牌右侧的“令牌”链接(带白箭头的蓝色框)按钮。
步骤6.应出现一个“令牌”窗口,其中包含要复制的完整令牌。突出显示标记,右键单击标记并单击Copy,或者按住键盘上的ctrl 按钮并同时单击c以复制文本。
步骤7.复制令牌后,您需要登录设备并上传令牌密钥。登录路由器的Web配置页。
步骤8.导航至“许可证”。
步骤9.如果设备未注册,则您的许可证授权状态将列为评估模式。粘贴您从智能许可管理器页面生成的令牌(此部分第6步)然后单击“Register(注册)”。
注意:注册过程可能需要一些时间,请等待完成。
步骤10.注册令牌后,您需要分配许可证。单击“Choose Licenses(选择许可证)”按钮。
步骤11.应出现“选择智能许可证”窗口。检查安全许可证,然后按保存并授权。
步骤12.您的安全许可证的状态现在应已授权。
现在,您应该可以继续配置入侵防御系统。
步骤1.如果您尚未登录路由器,请登录路由器的Web配置页面。
步骤2.导航至Security > Threat/IPS > IPS。
步骤3.选择On以启用入侵防御系统功能。如果要将其关闭,请选择“关闭”。
在本例中,我们将选择“打开”。
步骤4.选择Block Attacks(Prevention)或Log Only。在本例中,我们将选择Block Attacks(Prevention)。 以下选项定义如下。
·· 阻止攻击(防御) — 选择以阻止所有攻击。它还记录异常。
· 仅日志 — 此选项将在识别异常时仅生成日志(带客户端信息、签名ID等)。它不会影响连接。
步骤5.选择要使用的IPS安全级别。以下选项定义为:
· 连接 — 此模式将检测最关键的攻击。这提供了最低保护:仅检测(高严重性)风险攻击。这是最低安全设置选项。
·平衡 — 所选模式将检测严重攻击和关键攻击。这提供中等保护:通过传递低风险签名来检查(高+中严重性)。这是IPS的中级安全。
·· 安全 — 安全模式将检测正常攻击以及严重和关键攻击。这提供了最强的保护:检查所有规则(高+中+低严重性)。这是IPS的最高安全级别。
注意:您选择的安全级别越高,受到的攻击越多,对系统性能的影响就越大。
我们将为此演示选择“平衡”。
步骤6.在“上次更新”字段中,将显示上次更新签名的日期和时间。
步骤7.文件版本显示正在使用的签名版本。
步骤8.要搜索签名ID,请在按IPS搜索签名ID字段中输入签名ID,然后单击搜索以检查是否支持签名。如果支持签名ID,表将按照如下所示的结果进行更新。
注意:如果不支持签名ID,表中将不显示任何内容。
步骤9.在IPS签名表中,以下字段定义为:
· Name — 签名的名称。
·· ID — 签名的唯一标识符。点击ID将打开一个窗口,供您查看所选签名的完整详细信息。
·严重性 — 严重性级别表示安全影响。
·类别 — 签名所属的类别。
第10步。(可选)如果您单击了IPS签名表中的签名ID,将出现一个窗口,显示所选签名的完整详细信息。
步骤11.在IPS签名表的底部,选择箭头以及要在表中来回导航的数字。您还可以在每页行数下拉列表中选择每页行数(50、100或150)。
步骤12.单击Apply将更改保存到运行配置文件。
注意:路由器当前使用的所有配置都在运行配置文件中,该文件是易失性的,在重新启动后不会保留。要在重新启动后保留配置,请将运行配置文件复制到启动配置文件。
在接下来的几个步骤中,我们将向您展示如何将运行配置复制到启动配置。
步骤13.单击页面顶部的软盘(保存)图标。这会将您重定向到配置管理,以将运行配置保存到启动配置。
步骤14.在“配置管理”中,向下滚动到“复制/保存配置”部分。确保源为运行配置,目标为启动配置。单击 Apply。此操作会将运行配置文件复制到启动配置文件,以在重新启动后保留配置。
步骤1.导航至Security > Threat/IPS > Status。
步骤2.配置了防威胁和IPS功能后,Status页面会显示威胁和攻击的详细信息。控制面板提供整个事件摘要的视图,以及按选择检测的威胁和攻击的详细信息,如日、周和月。
步骤3.单击“IPS”选项卡。这将显示前10个受攻击客户端和前10个IPS攻击。
您可以手动或自动更新IPS定义。步骤1-2将显示如何手动更新IPS定义,而步骤3-6将显示如何自动更新IPS定义。
最佳实践:建议每周自动更新安全签名。
步骤1.要手动更新IPS定义,请导航至“管理”>“文件管理”。
步骤2.向下滚动到“文件管理”页面的“手动升级”部分。选择Signature File for File Type,Cisco.com 以Upgrade From。然后按升级。这将下载最新的安全签名并安装。
步骤3.要自动更新IPS定义,请导航至System Configuration > Automatic Updates。
步骤4.系统将打开“自动更新”页。您可以选择每周或每月检查更新。您可以通过电子邮件或Web UI通知路由器。在本例中,我们将选择每周检查一次。
注意:建议每周自动更新安全签名。
步骤5.向下滚动到“自动更新”部分并查找“安全签名”字段。在“安全签名更新”下拉列表中,选择要自动更新的时间。在本例中,我们将选择“立即”。
步骤6.单击Apply将更改保存到运行配置文件。
注意:切记单击顶部的软盘图标,导航到“配置管理”页,将运行配置文件复制到启动配置文件。这将有助于在重新启动后保留您的配置。
现在,您应该已在RV34x系列路由器上成功配置了入侵防御系统。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
19-Mar-2019 |
初始版本 |