本文档的目的是向您展示如何在RV34x系列路由器上配置入侵防御系统(IPS)。
入侵防御系统扫描流量以查找要拦截的已知攻击模式。它会监视通过路由器的数据包和会话,并扫描每个数据包以匹配任何Cisco IPS签名。当检测到可疑活动时,会将其记录或阻止。更新IPS和防病毒数据库和定义非常重要。这些可以手动或自动更新。
查看思科入侵防御系统上的以下视频:
但是,IPS可能会影响路由器的性能。一般来说,它不会影响超文本传输协议(HTTP)和文件传输协议(FTP)流量的总吞吐量,但会显着降低最大并发连接数。
重要说明:如果路由器当前的工作负载过重,则可能会使问题恶化。
下表提供了各种配置下的预期性能统计信息。这些值应作为指南,因为实际性能可能因多种因素而异。
并发连接 | 连接速率 | HTTP吞吐量 | FTP吞吐量 | |
默认设置 | 40000 | 3000 | 982MB/秒 | 981MB/秒 |
启用APP控制 | 15000-16000 | 1300 | 982MB/秒 | 981MB/秒 |
启用防病毒软件 | 16000 | 1500 | 982MB/秒 | 981MB/秒 |
启用IPS | 17000 | 1300 | 982MB/秒 | 981MB/秒 |
启用App Control防病毒和IPS | 15000-16000 | 1000 | 982MB/秒 | 981MB/秒 |
以下字段定义为:
并发连接 — 并发连接总数。例如,如果您从一个站点下载文件,这是一个连接,来自Spotify的音频流将变成另一个连接,使其成为两个并发连接。
连接速率 — 每秒可处理的连接请求数。
HTTP/FTP吞吐量 — HTTP和FTP吞吐量是下载速率(MB/秒)。
安全许可证已更新,除了现有应用和网络过滤外,还包含IPS保护。必须使用智能帐户才能获得安全许可证。如果您还没有有效的智能帐户,则需要本文档的第1部分。
若要了解如何在RV34x上配置防病毒软件,请单击此处。
· RV34x
· 1.0.03.x
1. 智能许可
2. 配置入侵防御系统
3. 入侵防御系统签名
4. 入侵防御系统签名表
5. IPS 状态
6. 更新IPS定义
7. 结论
如果您没有活动的智能帐户,您需要继续执行以下步骤。
如果您在配置智能许可证帐户时遇到任何问题或问题,我们的支持团队将帮助解决潜在问题,并且可以通过多种方法联系我们。请随时使用您首选的方法进行联系。
·路由器社区:思科小型企业支持社区
· RV34x系列常见问题解答:RV34x系列路由器常见问题
·智能许可证概述:智能软件许可
·有关智能许可证的常见问题:面向合作伙伴、总代理商和客户的智能许可和智能帐户常见问题解答
·提交案例:Support Case Manager
·美国/加拿大支持电话号码:1-866-606-1866或小型企业 TAC 联系方式
·许可电邮:licensing@cisco.com
步骤1.如果您最近创建或访问了Cisco.com帐户,系统会显示一条消息,提示您创建自己的智能许可证帐户。如果尚未创建,您可以点击此处转到智能许可证帐户创建页面。您可能需要登录。
注意:有关申请智能帐户所涉及步骤的其他详细信息,请点击此处。
步骤2.为路由器购买智能许可证时,供应商需要执行将唯一许可证ID移动到智能许可证帐户的流程。下表列出了购买捆绑包时需要了解的必要信息。
注意:IPS和防病毒是用于Web过滤和应用过滤的安全许可证的一部分。
所需信息 | 查找信息 |
Cisco.com用户ID | 位于您的帐户简档中,或者您可以点击此处。 |
智能许可证帐户名称 | 最好在购买许可证之前创建您的智能帐户。 这应该是智能许可证帐户创建文章的第8步。 |
智能许可证SKU | 设备的产品标识代码。 例如RV340-K9-NA |
注意:如果您购买了许可证,并且该许可证不会显示在您的虚拟帐户中,您应该跟踪经销商,请求他们进行转接,或者联系我们。
为了尽可能简化流程,您应该拥有许可证发票、思科销售订单编号和智能帐户许可证页面的屏幕截图(以便与我们的团队共享)。
步骤3.要生成令牌,请导航到您的智能软件许可证帐户。然后单击Inventory > General选项卡。点击New Token...按钮。
步骤4.将打开创建注册令牌窗口。输入Description、Expire After和Max。使用次数。然后按Create Token按钮。
注意:建议在30天内使用“Expire After”。
步骤5.生成令牌后,您可以点击最近创建的令牌右侧的Token link(带有白色箭头的蓝框)按钮。
步骤6.应出现Token窗口,其中包含要复制的完整令牌。突出显示标记,右键单击该标记,然后单击Copy,或者可以按住键盘上的ctrl按钮,同时单击c以复制文本。
步骤7.复制令牌后,您需要登录设备并上传令牌密钥。登录到路由器的Web配置页。
步骤8.导航到许可证。
步骤9.如果您的设备未注册,您的许可证授权状态将列为评估模式。粘贴您从Smart Licensing Manager页面生成的令牌(本节的步骤6)。然后单击Register。
注意:注册过程可能需要一些时间,请等待其完成。
步骤10.注册令牌后,您需要分配许可证。单击Choose Licenses按钮。
步骤11.应出现Choose Smart Licenses窗口。选中Security-License,然后按保存并授权。
步骤12.您的Security-License的状态应该是Authorized。
您现在应该能够继续配置入侵防御系统。
步骤1.如果您尚未登录路由器,请登录路由器的网络配置页面。
步骤2.导航到安全>威胁/IPS > IPS。
步骤3.选择On以启用Intrusion Prevention System功能。如果要将其关闭,请选择关闭。
在本例中,我们将选择On。
步骤4.选择Block Attacks(Prevention)或Log Only。在本例中,我们将选择Block Attacks(Prevention)。 以下选项定义如下。
· Block Attacks(Prevention)-选择以阻止所有攻击。它还记录异常。
·仅日志 — 此选项将仅在识别异常时生成日志(包括客户端信息、签名ID等)。它不会影响连接。
步骤5.选择要使用的IPS安全级别。以下选项定义如下:
· Connectivity — 此模式将检测最关键的攻击。这样提供的保护最少:仅检测(高严重性)风险攻击。这是最低安全设置选项。
· Balanced — 选定的模式将检测严重攻击和严重攻击。这样可提供中等程度的保护:通过低风险签名来检查(高+中严重性)。这是IPS的中级安全性。
· 安全 — 安全模式将检测正常攻击以及严重和关键的攻击。这提供了最大的保护:检查所有规则(高+中+低严重性)。这是IPS的最高安全级别。
注意:您选择的安全级别越高,受监控的攻击越多,可能会对系统性能造成的影响就越大。
在本演示中,我们将选择Balanced。
步骤6.在上次更新字段中,将显示上次更新签名的日期和时间。
步骤7. 文件版本显示正在使用的签名版本。
步骤8.要搜索签名ID,请在按IPS签名ID搜索字段中输入签名ID,然后单击搜索以检查签名是否受支持。如果支持签名ID,表将使用如下所示的结果进行更新。
注意:如果不支持签名ID,表中将不显示任何内容。
步骤9.在IPS签名表中,以下字段定义为:
· Name — 签名的名称。
· ID — 签名的唯一标识符。点击ID将打开一个窗口,供您查看所选签名的完整详细信息。
· 严重性 — 严重性级别表示安全影响。
· Category — 签名所属的类别。
步骤10.(可选)如果单击IPS签名表中的签名ID,则会出现一个窗口,显示所选签名的完整详细信息。
步骤11.在IPS签名表的底部,选择箭头以及要在表格上来回导航的编号。您还可以在lines per page下拉列表中选择每页的行数(50、100或150)。
步骤12.单击Apply以保存对运行配置文件的更改。
注意:路由器使用的所有配置当前都在运行配置文件中,该文件是易失性文件,重新启动后不会保留。为了在重新启动之间保留您的配置,请将运行配置文件复制到启动配置文件中。
在接下来的几个步骤中,我们将向您展示如何将运行配置复制到启动配置。
步骤13.单击页面顶部的软盘(保存)图标。这会将您重定向到配置管理,以将运行配置保存到启动配置。
步骤14.在配置管理中,向下滚动到复制/保存配置部分。确保Source为Running Configuration,且Destination为Startup Configuration。单击 Apply。这会将运行配置文件复制到启动配置文件中,以在重新启动之间保留配置。
步骤1.导航到安全>威胁/IPS >状态。
第2步:配置Anti Threat和IPS功能时,Status页面会显示威胁和攻击的详细信息。控制面板可让您查看整个事件摘要,以及根据选择(如天、周和月)检测到的威胁和攻击的详细信息。
步骤3.单击IPS选项卡。这将显示前10个受攻击客户端以及前10个IPS攻击。
您可以手动或自动更新IPS定义。第1-2步将显示如何手动更新IPS定义,第3-6步将显示如何自动更新IPS定义。
最佳实践:建议每周自动更新安全签名。
步骤1.要手动更新IPS定义,请导航到管理>文件管理。
步骤2.向下滚动到文件管理页面中的手动升级部分。选择Signature File作为File Type,选择cisco.com作为Upgrade From。然后按升级。这将下载并安装最新的安全签名。
步骤3.要自动更新IPS定义,请导航到系统配置>自动更新。
步骤4.打开自动更新页。您可以选择每周或每月检查更新。您可以通过电子邮件或Web UI通知路由器。在本例中,我们将选择每周进行检查。
注意:建议每周自动更新安全签名。
步骤5.向下滚动到Automatic Update部分并查找Security Signature字段。在安全签名更新下拉列表中,选择要自动更新的时间。在本例中,我们将选择Immediate。
步骤6.单击Apply将更改保存到运行配置文件中。
注意:请记住单击顶部的软盘图标以导航到配置管理页,将运行配置文件复制到启动配置文件中。这将有助于在重新启动之间保留您的配置。
现在,您应该已经在RV34x系列路由器上成功配置了Intrusion Prevention System。
版本 | 发布日期 | 备注 |
---|---|---|
1.0 |
19-Mar-2019 |
初始版本 |