CSM 3.x — 將IDS感測器和模組新增到清單

簡介

本文提供有關如何在思科安全管理器(CSM)中新增入侵檢測系統(IDS)感測器和模組（包括Catalyst 6500交換機上的IDSM、路由器上的NM-CIDS和ASA上的AIP-SSM）的資訊。

注意：CSM 3.2不支援IPS 6.2。CSM 3.3支援此功能。

必要條件

需求

本文檔假定CSM和IDS裝置已安裝並正常工作。

採用元件

本檔案中的資訊是根據CSM 3.0.1。

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您的網路正在作用，請確保您已瞭解任何指令可能造成的影響。

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

將裝置新增到安全管理器清單

將裝置新增到安全管理器時，會引入裝置的一系列標識資訊，如裝置的DNS名稱和IP地址。新增裝置後，它會出現在安全管理器裝置清單中。只有在將裝置新增到清單後，才能在安全管理器中管理該裝置。

您可以使用以下方法將裝置新增到安全管理器清單：

• 從網路新增裝置。

• 新增尚未在網路上的新裝置

• 從裝置和憑證儲存庫(DCR)中新增一個或多個裝置。

• 從配置檔案中新增一台或多台裝置。

注意：本文檔重點介紹以下方法：新增尚未在網路上的新裝置。

新增IDS感測器和模組的步驟

使用Add New Device選項將單個裝置新增到安全管理器資產中。您可以將此選項用於預調配。您可以在系統中建立裝置，將策略分配給裝置，並在收到裝置硬體之前生成配置檔案。

收到裝置硬體時，必須準備由安全管理器管理的裝置。有關詳細資訊，請參閱準備裝置以供安全管理器管理。

以下過程顯示如何新增新的IDS感測器和模組：

1. 按一下工具欄中的Device View按鈕。

   系統將顯示Devices頁面。

2. 按一下Device selector中的Add按鈕。

   系統將顯示New Device - Choose Method頁面，其中包含四個選項。

3. 選擇Add New Device，然後按一下Next。

   系統將顯示New Device - Device Information頁面。

4. 在相應的欄位中輸入裝置資訊。

   有關詳細資訊，請參閱提供裝置資訊 — 新設備部分。

5. 按一下「Finish」（結束）。

   系統執行裝置驗證任務：

   • 如果資料不正確，系統會生成錯誤消息，並以與之對應的紅色錯誤圖示顯示發生錯誤的頁面。

   • 如果資料正確，裝置會新增到清單，並顯示在裝置選擇器中。

提供裝置資訊 — 新裝置

請完成以下步驟：

1. 為新裝置選擇裝置型別：

   1. 選擇頂級裝置型別資料夾以顯示支援的裝置系列。

   2. 選擇裝置系列資料夾以顯示支援的裝置型別。

      1. 選擇Cisco Interfaces and Modules > Cisco Network Modules以新增Cisco IDS Access Router Network Module。同樣，選擇Cisco Interfaces and Modules > Cisco Services Modules以新增所示的AIP-SSM和IDSM模組。

      2. 選擇Security and VPN > Cisco IPS 4200 Series Sensors，以便將Cisco IDS 4210感測器新增到CSM清單。

         

   3. 選擇裝置型別。

      注意：新增裝置後，無法更改裝置型別。

      該裝置型別的系統對象ID顯示在SysObjectId欄位中。預設情況下會選擇第一個系統對象ID。如果需要，您可以選擇其他選項。

2. 輸入裝置身份資訊，例如IP型別（靜態或動態）、主機名、域名、IP地址和顯示名稱。

3. 輸入裝置作業系統資訊，如作業系統型別、映像名稱、目標作業系統版本、上下文和操作模式。

4. 系統將顯示Auto Update或CNS-Configuration Engine欄位，該欄位取決於您選擇的裝置型別：

   • Auto Update — 為PIX防火牆和ASA裝置顯示。

   • CNS-Configuration Engine — 顯示Cisco IOS®路由器。

   注意：此欄位對於Catalyst 6500/7600和FWSM裝置處於非活動狀態。

5. 請完成以下步驟：

   • 自動更新 — 按一下箭頭顯示伺服器清單。選擇管理裝置的伺服器。如果該伺服器沒有出現在清單中，請完成以下步驟：

     1. 按一下箭頭，然後選擇+ Add Server...出現「Server Properties（伺服器屬性）」對話方塊。

     2. 在必填欄位中輸入資訊。

     3. 按一下「OK」（確定）。新伺服器將新增到可用伺服器清單中。

   • CNS-Configuration Engine — 顯示不同的資訊，具體取決於您選擇的是靜態IP型別還是動態IP型別：

     Static — 按一下箭頭顯示配置引擎清單。選擇管理裝置的配置引擎。如果清單中未顯示配置引擎，請完成以下步驟：

     1. 按一下箭頭，然後選擇+ Add Configuration Engine...系統將顯示Configuration Engine屬性對話方塊。

     2. 在必填欄位中輸入資訊。

     3. 按一下「OK」（確定）。新的配置引擎將新增到可用配置引擎清單中。

   • Dynamic — 按一下箭頭顯示伺服器清單。選擇管理裝置的伺服器。如果該伺服器沒有出現在清單中，請完成以下步驟：

     1. 按一下箭頭，然後選擇+ Add Server...出現「Server Properties（伺服器屬性）」對話方塊。

     2. 在必填欄位中輸入資訊。

     3. 按一下「OK」（確定）。新伺服器將新增到可用伺服器清單中。

6. 請完成以下步驟：

   • 要在安全管理器中管理裝置，請選中在思科安全管理器中管理覈取方塊。這是預設設定。

   • 如果所新增裝置的唯一功能是充當VPN端點，請取消選中Manage in Cisco Security Manager覈取方塊。

     安全管理器不會在此裝置上管理配置或上載或下載配置。

7. 選中Security Context of Unmanaged Device覈取方塊以管理其父裝置（PIX Firewall、ASA或FWSM）未由安全管理器管理的安全上下文。

   您可以將PIX防火牆、ASA或FWSM劃分為多個安全防火牆，也稱為安全情景。每個情景都是獨立的系統，具有自己的配置和策略。即使父級（PIX防火牆、ASA或FWSM）不是由安全管理器管理的，也可以在安全管理器中管理這些獨立上下文。

   注意：僅當在「裝置選擇器」中選擇的裝置是支援安全情景的防火牆裝置（例如PIX防火牆、ASA或FWSM）時，此欄位才處於活動狀態。

8. 勾選「Manage in IPS Manager」覈取方塊以在IPS管理器中管理Cisco IOS路由器。

   僅當從裝置選擇器中選擇了Cisco IOS路由器時，此欄位才處於活動狀態。

   注意：IPS Manager只能管理具有IPS功能的Cisco IOS路由器上的IPS功能。有關詳細資訊，請參閱IPS文檔。

   如果選中Manage in IPS Manager覈取方塊，還必須選中Manage in Cisco Security Manager覈取方塊。

   如果所選裝置是IDS，則此欄位處於非活動狀態。但是，此覈取方塊已選中，因為IPS Manager管理IDS感測器。

   如果所選裝置是PIX防火牆、ASA或FWSM，則此欄位處於非活動狀態，因為IPS管理器不管理這些裝置型別。

9. 按一下「Finish」（結束）。

   系統執行裝置驗證任務：

   • 如果輸入的資料不正確，系統會生成錯誤消息，並顯示出現錯誤的頁面。

   • 如果輸入的資料正確，裝置會新增到清單，並顯示在裝置選擇器中。

疑難排解

使用本節內容，對組態進行疑難排解。

錯誤消息

將IPS新增到CSM時，Invalid device:出現平台型別錯誤資訊，無法推斷出該平台的SysObjId。

解決方案

完成以下步驟即可解決此錯誤訊息。

1. 在Windows中停止CSM守護程式服務，然後選擇Program Files > CSCOpx > MDC > athena > Config > Directory，您可以在其中找到VMS-SysObjID.xml。

2. 在CSM系統上，將預設位於C:\Program Files\CSCOpx\MDC\athena\config\directory中的原始VMS-SysObjID.xml檔案替換為最新的VMS-SysObjID.xml檔案。

3. 重新啟動CSM守護程式管理器服務(CRMDmgtd)，然後重新嘗試新增或發現受影響的裝置。

相關資訊

• 思科安全管理員支援頁面
• 思科入侵偵測系統支援頁面
• 技術支援與文件 - Cisco Systems