在RV34x系列路由器上配置入侵防御系统

下载选项

  • PDF     (3.7 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (4.2 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (2.2 MB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2019 年 3 月 14 日
文档 ID:1552582578065584

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目标

本文档的目的是向您展示如何在RV34x系列路由器上配置入侵防御系统(IPS)。

简介

入侵防御系统扫描流量以查找要拦截的已知攻击模式。它会监视通过路由器的数据包和会话,并扫描每个数据包以匹配任何Cisco IPS签名。当检测到可疑活动时,会将其记录或阻止。更新IPS和防病毒数据库和定义非常重要。这些可以手动或自动更新。

查看思科入侵防御系统上的以下视频:

但是,IPS可能会影响路由器的性能。一般来说,它不会影响超文本传输协议(HTTP)和文件传输协议(FTP)流量的总吞吐量,但会显着降低最大并发连接数。

重要说明:如果路由器当前的工作负载过重,则可能会使问题恶化。

下表提供了各种配置下的预期性能统计信息。这些值应作为指南,因为实际性能可能因多种因素而异。

  并发连接 连接速率 HTTP吞吐量 FTP吞吐量
默认设置 40000 3000 982MB/秒 981MB/秒
启用APP控制 15000-16000 1300 982MB/秒 981MB/秒
启用防病毒软件 16000 1500 982MB/秒 981MB/秒
启用IPS 17000 1300 982MB/秒 981MB/秒
启用App Control防病毒和IPS 15000-16000 1000 982MB/秒 981MB/秒

 

以下字段定义为:

并发连接 — 并发连接总数。例如,如果您从一个站点下载文件,这是一个连接,来自Spotify的音频流将变成另一个连接,使其成为两个并发连接。

连接速率 — 每秒可处理的连接请求数。

HTTP/FTP吞吐量 — HTTP和FTP吞吐量是下载速率(MB/秒)。

安全许可证已更新,除了现有应用和网络过滤外,还包含IPS保护。必须使用智能帐户才能获得安全许可证。如果您还没有有效的智能帐户,则需要本文档的第1部分。

若要了解如何在RV34x上配置防病毒软件,请单击此处

适用设备

· RV34x

软件版本

· 1.0.03.x

目录

1.       智能许可

2.       配置入侵防御系统

3.       入侵防御系统签名

4.       入侵防御系统签名表

5.       IPS 状态

6.       更新IPS定义

7.       结论

智能许可

如果您没有活动的智能帐户,您需要继续执行以下步骤。

如果您在配置智能许可证帐户时遇到任何问题或问题,我们的支持团队将帮助解决潜在问题,并且可以通过多种方法联系我们。请随时使用您首选的方法进行联系。

·路由器社区:思科小型企业支持社区

· RV34x系列常见问题解答:RV34x系列路由器常见问题

·智能许可证概述:智能软件许可

·有关智能许可证的常见问题:面向合作伙伴、总代理商和客户的智能许可和智能帐户常见问题解答

·提交案例:Support Case Manager

·美国/加拿大支持电话号码:1-866-606-1866或小型企业 TAC 联系方式

·许可电邮:licensing@cisco.com

步骤1.如果您最近创建或访问了Cisco.com帐户,系统会显示一条消息,提示您创建自己的智能许可证帐户。如果尚未创建,您可以点击此处转到智能许可证帐户创建页面。您可能需要登录。

注意:有关申请智能帐户所涉及步骤的其他详细信息,请点击此处

步骤2.为路由器购买智能许可证时,供应商需要执行将唯一许可证ID移动到智能许可证帐户的流程。下表列出了购买捆绑包时需要了解的必要信息。

注意:IPS和防病毒是用于Web过滤和应用过滤的安全许可证的一部分。

所需信息 查找信息
Cisco.com用户ID 位于您的帐户简档中,或者您可以点击此处
智能许可证帐户名称 最好在购买许可证之前创建您的智能帐户。 这应该是智能许可证帐户创建文章的第8步。
智能许可证SKU 设备的产品标识代码。 例如RV340-K9-NA

 

注意:如果您购买了许可证,并且该许可证不会显示在您的虚拟帐户中,您应该跟踪经销商,请求他们进行转接,或者联系我们。

为了尽可能简化流程,您应该拥有许可证发票、思科销售订单编号和智能帐户许可证页面的屏幕截图(以便与我们的团队共享)。

步骤3.要生成令牌,请导航到您的智能软件许可证帐户。然后单击Inventory > General选项卡。点击New Token...按钮。

步骤4.将打开创建注册令牌窗口。输入DescriptionExpire AfterMax使用次数。然后按Create Token按钮。

注意:建议在30天内使用“Expire After”。

步骤5.生成令牌后,您可以点击最近创建的令牌右侧的Token link(带有白色箭头的蓝框)按钮。

步骤6.应出现Token窗口,其中包含要复制的完整令牌。突出显示标记,右键单击该标记,然后单击Copy,或者可以按住键盘上的ctrl按钮,同时单击c以复制文本。

步骤7.复制令牌后,您需要登录设备并上传令牌密钥。登录到路由器的Web配置页。

步骤8.导航到许可证。

步骤9.如果您的设备未注册,您的许可证授权状态将列为评估模式。粘贴您从Smart Licensing Manager页面生成的令牌(本节的步骤6)。然后单击Register

注意:注册过程可能需要一些时间,请等待其完成。

步骤10.注册令牌后,您需要分配许可证。单击Choose Licenses按钮。

步骤11.应出现Choose Smart Licenses窗口。选中Security-License,然后按保存并授权

步骤12.您的Security-License的状态应该是Authorized

您现在应该能够继续配置入侵防御系统。

配置入侵防御系统

步骤1.如果您尚未登录路由器,请登录路由器的网络配置页面。

步骤2.导航到安全>威胁/IPS > IPS

步骤3.选择On以启用Intrusion Prevention System功能。如果要将其关闭,请选择关闭

在本例中,我们将选择On

步骤4.选择Block Attacks(Prevention)Log Only。在本例中,我们将选择Block Attacks(Prevention)。 以下选项定义如下。

·       Block Attacks(Prevention)-选择以阻止所有攻击。它还记录异常。

·仅日志 — 此选项将仅在识别异常时生成日志(包括客户端信息、签名ID等)。它不会影响连接。

步骤5.选择要使用的IPS安全级别。以下选项定义如下:

· Connectivity — 此模式将检测最关键的攻击。这样提供的保护最少:仅检测(高严重性)风险攻击。这是最低安全设置选项。

· Balanced — 选定的模式将检测严重攻击和严重攻击。这样可提供中等程度的保护:通过低风险签名来检查(高+中严重性)。这是IPS的中级安全性。

·       安全 — 安全模式将检测正常攻击以及严重和关键的攻击。这提供了最大的保护:检查所有规则(高+中+低严重性)。这是IPS的最高安全级别。

注意:您选择的安全级别越高,受监控的攻击越多,可能会对系统性能造成的影响就越大。

在本演示中,我们将选择Balanced

入侵防御系统签名

步骤6.在上次更新字段中,将显示上次更新签名的日期和时间。

kev_22819_rv34xipssignature_step1

步骤7. 文件版本显示正在使用的签名版本。

kev_22819_rv34xipssignature_step2

步骤8.要搜索签名ID,请在按IPS签名ID搜索字段中输入签名ID,然后单击搜索以检查签名是否受支持。如果支持签名ID,表将使用如下所示的结果进行更新。

注意:如果不支持签名ID,表中将不显示任何内容。

kev_22819_rv34xipssignature_step3

入侵防御系统签名表

步骤9.在IPS签名表中,以下字段定义为:

· Name — 签名的名称。

·       ID — 签名的唯一标识符。点击ID将打开一个窗口,供您查看所选签名的完整详细信息。

· 严重性 — 严重性级别表示安全影响。

· Category — 签名所属的类别。

kev_22819_rv34xipstable_step1

步骤10.(可选)如果单击IPS签名表中的签名ID,则会出现一个窗口,显示所选签名的完整详细信息。

kev_22819_rv34xipstable_step2

步骤11.在IPS签名表的底部,选择箭头以及要在表格上来回导航的编号。您还可以在lines per page下拉列表中选择每页的行数(50100150)。

kev_22819_rv34xipstable_step3

步骤12.单击Apply以保存对运行配置文件的更改。

注意:路由器使用的所有配置当前都在运行配置文件中,该文件是易失性文件,重新启动后不会保留。为了在重新启动之间保留您的配置,请将运行配置文件复制到启动配置文件中。

在接下来的几个步骤中,我们将向您展示如何将运行配置复制到启动配置。

步骤13.单击页面顶部的软盘(保存)图标。这会将您重定向到配置管理,以将运行配置保存到启动配置。

步骤14.在配置管理中,向下滚动到复制/保存配置部分。确保SourceRunning Configuration,且DestinationStartup Configuration。单击 Apply。这会将运行配置文件复制到启动配置文件中,以在重新启动之间保留配置。

IPS 状态

步骤1.导航到安全>威胁/IPS >状态

第2步:配置Anti Threat和IPS功能时,Status页面会显示威胁和攻击的详细信息。控制面板可让您查看整个事件摘要,以及根据选择(如天、周和月)检测到的威胁和攻击的详细信息。

步骤3.单击IPS选项卡。这将显示前10个受攻击客户端以及前10个IPS攻击。

更新IPS定义

您可以手动或自动更新IPS定义。第1-2步将显示如何手动更新IPS定义,第3-6步将显示如何自动更新IPS定义。

最佳实践:建议每周自动更新安全签名。

步骤1.要手动更新IPS定义,请导航到管理>文件管理

步骤2.向下滚动到文件管理页面中的手动升级部分。选择Signature File作为File Type,选择cisco.com作为Upgrade From。然后按升级。这将下载并安装最新的安全签名。

步骤3.要自动更新IPS定义,请导航到系统配置>自动更新

步骤4.打开自动更新页。您可以选择每周或每月检查更新。您可以通过电子邮件或Web UI通知路由器。在本例中,我们将选择每周进行检查。

注意:建议每周自动更新安全签名。

步骤5.向下滚动到Automatic Update部分并查找Security Signature字段。在安全签名更新下拉列表中,选择要自动更新的时间。在本例中,我们将选择Immediate

步骤6.单击Apply将更改保存到运行配置文件中。

注意:请记住单击顶部的软盘图标以导航到配置管理页,将运行配置文件复制到启动配置文件中。这将有助于在重新启动之间保留您的配置。

结论

现在,您应该已经在RV34x系列路由器上成功配置了Intrusion Prevention System。

 

修订历史记录

版本 发布日期 备注
1.0
19-Mar-2019
初始版本

此文档是否有帮助?

Feedback反馈

联系我们