ASA AIP-SSM配置

1IPS优化配置

1.1 IPS结构设计

ASA系列产品是CISCO在2006年新推出的安全产品，通过模块化的配置，ASA可以集成PIX防火墙、VPN3000集中器、IPS入侵保护和Anti-X防病毒几大功能，布置在网络系统的边缘，充分保证系统的安全性。

对于XXXX这次新机房采购的ASA，通过选配了AIP-SSM模块，具备了PIX防火墙、VPN3000集中器和IPS入侵检测功能。其功能示意图如下所示：

图一、ASA功能示意图

IPS入侵保护系统可以对数据进行实时的分析，识别网络上各种网络攻击行为，同时通过与ASA防火墙的联动，可以对各种入侵数据进行过滤，从而保证网络系统的安全。（对IPS 的作用，可以形象的比喻为各出口处的智能摄像机，当发现有可疑行为时，会自动通知给出口处的警卫）

AIP-SSM是模块化的IPS产品，安装于ASA产品上，占用其一个安装插位，物理上与ASA 为一体，但其具有独立的系统，逻辑上独立于防火墙，它利用ASA的背板总线，对流过ASA 的数据进行采集，分析和执行动作。

IPS有两种工作模式：Online和Promiscuous

Online模式---IPS被串连在网络系统中，所有的数据都经过IPS，这种方式的优点在于其对数据的采集、分析和执行动作都是实时，安全性相对较高；缺点是由于所有的数据都需要经IPS传递，故要求IPS的性能较高。采用Online模式一般布置在网络流量相对较小的位置

Promiscuous模式---IPS通过旁路接入的方式，所有的数据通过镜象方式进行采集，不影响系统的运行，对IPS的性能要求也较低，其缺点是相对Online方式，安全性略低一点

点。

对于XXXX网络系统，ASA被布置在INTERNET的入口处，数据流量较大，为不影响到网络流量的传输，可按Promiscuous模式接入。IPS的布置示意图如下：

图二、IPS Promiscuous-Mode Protection

1.2 AIP-IPS初始化

AIP-ISP带独立操作系统，在开始进行配置前，需要对其进行初始化配置。完成后，可以通过ASDM或者IE浏览器对其进行配置和管理，初始化内容如下：

1.在ASA CLI 模式下,使用”session 1”进入AIP-IPS 模块

ASA1# session 1(进入AIP-IPS 模块)

login: cisco

Password: cisco

2.初始化AIP-IPS模块

ssm-sensor#setup

Default settings are in square brackets '[]'.

Continue with configuration dialog?[yes]: yes

Enter host name[ssm_sensor]: ZJSH_IPS

Enter IP interface[10.1.1.10/24,10.1.1.1]: X.X.X.X/24,X.X.X.X (配置接口地址和网

关)

Enter telnet-server status[disabled]:

Enter web-server port[443]:

Modify current access list?[no]: yes

Current access list entries:

Permit: X.X.X.X/24 (配置用于网管PC的网段)

Modify system clock settings?[no]:

Modify virtual sensor "vs0" configuration?[no]:

[0] Go to the command prompt without saving this config.

[1] Return back to the setup without saving this config.

[2] Save this configuration and exit setup.

Enter your selection[2]: 2 (存储配置)

Configuration Saved.

ssm-sensor# reset (重新启动设备,配置才能生效)

Warning:Executing this command will stop all applications and reboot the node.

Continue with reset? [] : yes (大约需要10分钟)

重启后完成IPS的初始化，则可以通过ASDM或者IE浏览器对其进行配置和管理了。1.3 配置IE浏览器访问IPS

在manager system管理机上，打开IE浏览器，输入HTTPS://X.X.X.X，其中IP地址就是初始化设定的IP地址，即可进入到IPS的配置页面。

IPS的主页面如图所示：

图三、IPS主页面

1.4 IPS Signature介绍及基本配置

IPS入侵保护系统类似于病毒库一样，带有一个专门的signature特征库，数据被采集后，

将被用于与signature特征库所定义的行为规划进行比较，一旦被采集的数据符合某个预定义的特征，IPS则根据预定义的动作对数据进行操作，常用的动作（Action）包括：警告、重置、丢弃、拦截等。

IPS Signature根据不同的行为规范划分为不同的Signature引擎，每个引擎是一组相类似的特征组合。出厂时，CISCO AIP-IPS已经收集了大部分的Signature，在使用过程中，可以在线进行升级，同时，用户可以根据自己的需要自定义Signature

以下介绍一些基本的IPS使用和管理的方法，由于IPS的CLI配置较复杂，这里采用IDM 的方式进行配置，通过一些图形进行描述。

Signature基本的配置方式

图四、Signature配置示意图

配置Signature行为如下图所示：

图五、Signature行为配置 事件观察界面

Signature自动更新配置

图六、Signature自动更新配置

1.5 配置IPS去采集ASA流量

按以下步骤配置ASA，把其流量发送到IPS分析

1.登录ASA

2.进行config模式

3.配置一个ACL，用于匹配感兴趣流量（这些流量将被发送到IPS）

命令：asa(config)# access-list IPS permit ip any any

4.定义一个流量class，调用ACL

命令：asa(config)# class-map class_map_name

asa(config-cmap)# match [access-list | any]

5.定义一个关于IPS流量的policy，调用class

命令：asa(config-cmap)# policy-map policy_map_name

asa(config-pmap)# class class_map_name

6.调用class后，配置流量到AIP-SSM模块，同时指定IPS的工作模式（inline/promiscuous），并定义当AIP-SSM模式出现故障后，流量是否可以通过ASA 命令：asa(config-pmap-c)# ips [inline | promiscuous] [fail-close | fail-open]

7.应用policy到全局/端口

命令：asa(config)# service-policy policymap_name [global | interface interface_name]

1.6 重启，关闭，重置和恢复AIP-SSM

1.重启AIP-SSM

命令：hw-module module 1 reload

2.关闭AIP-SSM

命令：hw-module module 1 shutdown

3.重置AIP-SSM

命令：hw-module module 1 reset

4.恢复AIP-SSM

命令：hw-module module 1 recover [boot | stop | configure]