本文提供有關如何在思科安全管理器(CSM)中新增入侵檢測系統(IDS)感測器和模組(包括Catalyst 6500交換機上的IDSM、路由器上的NM-CIDS和ASA上的AIP-SSM)的資訊。
注意:CSM 3.2不支援IPS 6.2。CSM 3.3支援此功能。
本文檔假定CSM和IDS裝置已安裝並正常工作。
本檔案中的資訊是根據CSM 3.0.1。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
將裝置新增到安全管理器時,會引入裝置的一系列標識資訊,如裝置的DNS名稱和IP地址。新增裝置後,它會出現在安全管理器裝置清單中。只有在將裝置新增到清單後,才能在安全管理器中管理該裝置。
您可以使用以下方法將裝置新增到安全管理器清單:
從網路新增裝置。
新增尚未在網路上的新裝置
從裝置和憑證儲存庫(DCR)中新增一個或多個裝置。
從配置檔案中新增一台或多台裝置。
注意:本文檔重點介紹以下方法:新增尚未在網路上的新裝置。
使用Add New Device選項將單個裝置新增到安全管理器資產中。您可以將此選項用於預調配。您可以在系統中建立裝置,將策略分配給裝置,並在收到裝置硬體之前生成配置檔案。
收到裝置硬體時,必須準備由安全管理器管理的裝置。有關詳細資訊,請參閱準備裝置以供安全管理器管理。
以下過程顯示如何新增新的IDS感測器和模組:
按一下工具欄中的Device View按鈕。
系統將顯示Devices頁面。
按一下Device selector中的Add按鈕。
系統將顯示New Device - Choose Method頁面,其中包含四個選項。
選擇Add New Device,然後按一下Next。
系統將顯示New Device - Device Information頁面。
在相應的欄位中輸入裝置資訊。
有關詳細資訊,請參閱提供裝置資訊 — 新設備部分。
按一下「Finish」(結束)。
系統執行裝置驗證任務:
如果資料不正確,系統會生成錯誤消息,並以與之對應的紅色錯誤圖示顯示發生錯誤的頁面。
如果資料正確,裝置會新增到清單,並顯示在裝置選擇器中。
請完成以下步驟:
為新裝置選擇裝置型別:
選擇頂級裝置型別資料夾以顯示支援的裝置系列。
選擇裝置系列資料夾以顯示支援的裝置型別。
選擇Cisco Interfaces and Modules > Cisco Network Modules以新增Cisco IDS Access Router Network Module。同樣,選擇Cisco Interfaces and Modules > Cisco Services Modules以新增所示的AIP-SSM和IDSM模組。
選擇Security and VPN > Cisco IPS 4200 Series Sensors,以便將Cisco IDS 4210感測器新增到CSM清單。
選擇裝置型別。
注意:新增裝置後,無法更改裝置型別。
該裝置型別的系統對象ID顯示在SysObjectId欄位中。預設情況下會選擇第一個系統對象ID。如果需要,您可以選擇其他選項。
輸入裝置身份資訊,例如IP型別(靜態或動態)、主機名、域名、IP地址和顯示名稱。
輸入裝置作業系統資訊,如作業系統型別、映像名稱、目標作業系統版本、上下文和操作模式。
系統將顯示Auto Update或CNS-Configuration Engine欄位,該欄位取決於您選擇的裝置型別:
Auto Update — 為PIX防火牆和ASA裝置顯示。
CNS-Configuration Engine — 顯示Cisco IOS®路由器。
注意:此欄位對於Catalyst 6500/7600和FWSM裝置處於非活動狀態。
請完成以下步驟:
自動更新 — 按一下箭頭顯示伺服器清單。選擇管理裝置的伺服器。如果該伺服器沒有出現在清單中,請完成以下步驟:
按一下箭頭,然後選擇+ Add Server...出現「Server Properties(伺服器屬性)」對話方塊。
在必填欄位中輸入資訊。
按一下「OK」(確定)。新伺服器將新增到可用伺服器清單中。
CNS-Configuration Engine — 顯示不同的資訊,具體取決於您選擇的是靜態IP型別還是動態IP型別:
Static — 按一下箭頭顯示配置引擎清單。選擇管理裝置的配置引擎。如果清單中未顯示配置引擎,請完成以下步驟:
按一下箭頭,然後選擇+ Add Configuration Engine...系統將顯示Configuration Engine屬性對話方塊。
在必填欄位中輸入資訊。
按一下「OK」(確定)。新的配置引擎將新增到可用配置引擎清單中。
Dynamic — 按一下箭頭顯示伺服器清單。選擇管理裝置的伺服器。如果該伺服器沒有出現在清單中,請完成以下步驟:
按一下箭頭,然後選擇+ Add Server...出現「Server Properties(伺服器屬性)」對話方塊。
在必填欄位中輸入資訊。
按一下「OK」(確定)。新伺服器將新增到可用伺服器清單中。
請完成以下步驟:
要在安全管理器中管理裝置,請選中在思科安全管理器中管理覈取方塊。這是預設設定。
如果所新增裝置的唯一功能是充當VPN端點,請取消選中Manage in Cisco Security Manager覈取方塊。
安全管理器不會在此裝置上管理配置或上載或下載配置。
選中Security Context of Unmanaged Device覈取方塊以管理其父裝置(PIX Firewall、ASA或FWSM)未由安全管理器管理的安全上下文。
您可以將PIX防火牆、ASA或FWSM劃分為多個安全防火牆,也稱為安全情景。每個情景都是獨立的系統,具有自己的配置和策略。即使父級(PIX防火牆、ASA或FWSM)不是由安全管理器管理的,也可以在安全管理器中管理這些獨立上下文。
注意:僅當在「裝置選擇器」中選擇的裝置是支援安全情景的防火牆裝置(例如PIX防火牆、ASA或FWSM)時,此欄位才處於活動狀態。
勾選「Manage in IPS Manager」覈取方塊以在IPS管理器中管理Cisco IOS路由器。
僅當從裝置選擇器中選擇了Cisco IOS路由器時,此欄位才處於活動狀態。
注意:IPS Manager只能管理具有IPS功能的Cisco IOS路由器上的IPS功能。有關詳細資訊,請參閱IPS文檔。
如果選中Manage in IPS Manager覈取方塊,還必須選中Manage in Cisco Security Manager覈取方塊。
如果所選裝置是IDS,則此欄位處於非活動狀態。但是,此覈取方塊已選中,因為IPS Manager管理IDS感測器。
如果所選裝置是PIX防火牆、ASA或FWSM,則此欄位處於非活動狀態,因為IPS管理器不管理這些裝置型別。
按一下「Finish」(結束)。
系統執行裝置驗證任務:
如果輸入的資料不正確,系統會生成錯誤消息,並顯示出現錯誤的頁面。
如果輸入的資料正確,裝置會新增到清單,並顯示在裝置選擇器中。
使用本節內容,對組態進行疑難排解。
將IPS新增到CSM時,Invalid device:出現平台型別錯誤資訊,無法推斷出該平台的SysObjId。
解決方案
完成以下步驟即可解決此錯誤訊息。
在Windows中停止CSM守護程式服務,然後選擇Program Files > CSCOpx > MDC > athena > Config > Directory,您可以在其中找到VMS-SysObjID.xml。
在CSM系統上,將預設位於C:\Program Files\CSCOpx\MDC\athena\config\directory中的原始VMS-SysObjID.xml檔案替換為最新的VMS-SysObjID.xml檔案。
重新啟動CSM守護程式管理器服務(CRMDmgtd),然後重新嘗試新增或發現受影響的裝置。
修訂 | 發佈日期 | 意見 |
---|---|---|
1.0 |
21-May-2007 |
初始版本 |