简单IPS配置

简单IPS配置命令

1.在路由器中创建一个文件夹为IPS专用文件夹.

R1#mkdir IPS

2.在路由器中选择IPS相关文件以及signature存放位置

R1(config)#ip ips config location flash:IPS

3.在路由器中创建一个IPS规则名称

R1(config)# ip ips name IPS

4.在路由器中启动日志记录

R1(config)# ip ips notify log

5.在路由器中利用signature配置IOS-IPS ，关闭所有的signature

防止路由器死机，启动基本的signature

ip ips signature-category

R1(config-ips-category)# category all

R1(config-ips-category-action)# retired true

R1(config-ips-category-action)# exit

R1(config-ips-category)# category ios_ips basic

R1(config-ips-category-action)# retired false

R1(config-ips-category-action)# exit

R1(config-ips-cateogry)# exit

6.在路由器中的接口中启动所定义的IPS规则

R1(config)#interface FastEthernet 0/1

R1(config-if)#ip ips IPS in

R1(config-if)#ip ips IPS out

R1(config-if)#exit

R1(config)#exit

7.在路由器中导入cisco路由器的公钥

8.在路由器中导入signature文件包

R1#copy tftp:ip address file name flash:IPS

9.在路由器中启动idconfig 命令将signature应用到IPS服务中

R1#copy flash:IPS/file name idconfig

10.在路由器中配置signature 2004 0的规则与动作

R1(config)# ip ips signature-definition

R1(config-sigdef)# signature 2004 0

R1(config-sigdef-sig)# status

R1(config-sigdef-sig-status)# retired false

R1(config-sigdef-sig-status)# enabled true

R1(config-sigdef-sig-status)# exit

R1(config-sigdef-sig)#alert-severity high / informational / low /medium(警告级别)

R1(config-sigdef-sig)# engine

R1(config-sigdef-sig-engine)# event-action produce-alert(产生警告)

R1(config-sigdef-sig-engine)# event-action deny-packet-inline

R1(config-sigdef-sig-engine)# exit

R1(config-sigdef-sig)# exit

R1(config-sigdef)# exit

公钥：crypto key pubkey-chain rsa

named-key realm-cisco.pub signature

key-string

30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101

00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16

17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128

B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E

5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35

FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85

50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C

A84DFBA5 7A0AF99E AD768C36

006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE

2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3

F3020301 0001

quit

交换机端口限制

interface FastEthernet4/1

switchport mode access

switchport port-security

switchport port-security maximum 2

switchport port-security mac-address sticky

switchport port-security mac-address sticky 0002.1629.5E9E switchport port-security mac-address sticky 0090.2B7A.DC0C

简单的区域防火墙

实验要求2：内网R1能ping通Internet 跟DMZ区域

DMZ区域不能访问Internet和内网

Internet不能ping通内网和DMZ区域，但是Internet可以访问

DMZ区域的HTTP服务

1创建zone/关联zone到接口

FireWall (config)#zone security Private//创建安全区域 Private(私有网络)

FireWall (config-sec-zone)#exi

FireWall (config)#zone security Internet//创建外部安全区域Internet FireWall (config-sec-zone)#exi

FireWall (config)#zone security DMZ//创建安全区域 DMZ (DMZ网络) FireWall (config-sec-zone)#exi

FireWall (config)#int f0/0

FireWall (config-if)#zone-member security Private//关联zone到接口FireWall (config-if)#int f0/1

FireWall (config-if)#zone-member security Internet

FireWall (config-if)#int f1/0

FireWall (config-if)#zone-member security DMZ

2配置class-map匹配流量

FireWall(config)#class-map type inspect match-any

Private-To-Internet//创建私有网络到Internet网络的匹配条件名为Private-To-Internet

FireWall(config-cmap)#match protocol http

FireWall(config-cmap)#match protocol icmp

FireWall(config-cmap)#match protocol tcp

FireWall(config-cmap)#match protocol udp

FireWall(config-cmap)#match protocol telnet

FireWall(config-cmap)#match protocol ip

FireWall(config-cmap)#match protocol ntp

FireWall(config-cmap)#exit

FireWall(config)#class-map type inspect match-any

Internet-To-DMZ //创建Internet网络到DMZ网络的匹配条件名为Internet-To-DMZ

FireWall(config-cmap)#match protocol http

FireWall(config-cmap)#match protocol tcp

FireWall(config-cmap)#exit

3配置parameter-map（Cisco PacketTracer5.3不支持此项配置）

R1(config)#parameter-map type inspect Private-To-Internet.pa FireWall(config-profile)#max-incomplete low 800

FireWall(config-profile)#max-incomplete high 1000

FireWall(config-profile)#tcp synwait-time 5

FireWall(config-profile)#tcp finwait-time 5

FireWall(config-profile)#tcp idle-time 5

FireWall(config-profile)#exi

FireWall(config)#parameter-map type inspect Internet-To-DMZ.pa

FireWall(config-profile)#max-incomplete low 800

FireWall(config-profile)#max-incomplete high 1000

FireWall(config-profile)#tcp synwait-time 5

FireWall(config-profile)#tcp finwait-time 5

FireWall(config-profile)#tcp idle-time 5

FireWall(config-profile)#exi

4配置policy-map

FireWall(config)#policy-map type inspect 1 //创建策略1

FireWall(config-pmap)#class type inspect Private-To-Internet //在策略中使用匹配条件Private-To-Internet

FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect FireWall(config-pmap-c)#class type inspect class-default //配置默认FireWall(config-pmap-c)#end

FireWall#conf t

FireWall(config)#policy-map type inspect 2 //创建策略2

FireWall(config-pmap)#class type inspect Internet-To-DMZ //在策略中使用匹配条件Internet-To-DMZ

FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect FireWall(config-pmap-c)#class type inspect class-default //配置默认FireWall(config-pmap-c)#end

5运用policy-map到zone-pairs

FireWall(config)#zone-pair security Private-Internet source Private destination Internet//创建从私有网络到Internet区域之间的区域策略FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1

FireWall(config-sec-zone-pair)#exit

FireWall(config)#zone-pair security Private-DMZ source Private destination DMZ//创建从私有网络到DMZ区域之间的区域策略

FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略应用策略1

FireWall(config-sec-zone-pair)#exit

FireWall(config)#zone-pair security Internet-DMZ source Internet destination DMZ

//创建从Internet到DMZ区域之间的区域策略

FireWall(config-sec-zone-pair)#service-policy type inspect 2 //定义区域间的策略应用策略2

SPAN端口镜像

(1)创建SPAN 源端口

monitor session session_number source interface interface-id [, | -] [both | rx | tx] **session_number,SPAN 会话号，我记得3550 支

持的最多本地SPAN 是2 个，即1 或者2。**interface-id [, | -]源端口接口号，即被镜像的端口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”隔开，连续的用“-”连接。**[both | rx | tx]，可选项，是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量，默认是both。

(2)创建SPAN 目的端口monitor session session_number destination

interface interface-id

[encapsulation {dot1q [ingress vlan vlan id] | ISL [ingress]} | ingress vlan vlan id] **一样的我就不说了。**session_number 要和上面的一致。**interface-id 目的端口，在源端口被拷贝的流量会从这个端口发出去，端口号不能被包含在源端口的范围内。**[encapsulation {dot1q | isl}]，可选，指被从目的端口发出去时是否使用802.1q 和isl 封装，当使用802.1q 时，对于本地VLAN 不进行封装，其他VLAN 封装，ISL 则全部封装。

EZVPN配置：

r1(config)#aaa new-model

r1(config)#aaa authentication login cisco1 local group radius

r1(config)#aaa authorization network cisco2 local group radius

r1(config)#username chinaccie password chinaccie

r1(config)#crypto isakmp policy 1

r1(config-isakmp)#encryption 3des

r1(config-isakmp)#hash sha

r1(config-isakmp)#authentication pre-share

r1(config-isakmp)#group 2

r1(config-isakmp)#exit

r1(config)#ip local pool net10 10.1.1.100 10.1.1.200

r1(config)#crypto isakmp client configuration group chinaccie r1(config-isakmp-group)#key cisco123

r1(config-isakmp-group)#dns 202.96.209.133

r1(config-isakmp-group)#pool net10

r1(config-isakmp-group)#domain https://www.wendangku.net/doc/7618782611.html,

r1(config-isakmp-group)#exit

r1(config)#crypto ipsec transform-set ccie esp-3des

esp-sha-hmac

r1(cfg-crypto-trans)#exit

r1(config)#crypto dynamic-map mymap 1

r1(config-crypto-map)#reverse-route

r1(config-crypto-map)#set transform-set ccie

r1(config-crypto-map)#exit

r1(config)#crypto map ezvpn client configuration address

respond （如果client是1.x，则不是respond而是initiate）

r1(config)#crypto map ezvpn client authentication list cisco1 （定义认证）

r1(config)#crypto map ezvpn isakmp authorization list cisco2 （定义认证查询IKE querying）

r1(config)#crypto map ezvpn 1 ipsec-isakmp dynamic mymap

r1(config)#int f0/0

r1(config-if)#crypto map ezvpn

*Mar 1 00:27:51.587: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON

r1(config-if)#exi

IPSECVPN配置：

r1(config)#crypto isakmp policy 1

r1(config-isakmp)#encryption 3des

r1(config-isakmp)#hash sha

r1(config-isakmp)#authentication pre-share

r1(config-isakmp)#group 2

r1(config-isakmp)#exit

r1(config)#crypto isakmp key 0 cisco123 address 23.1.1.3

r1(config)#crypto ipsec transform-set ccie esp-3des

esp-sha-hmac

r1(cfg-crypto-trans)#exit

r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255

r1(config)#crypto map l2l 1 ipsec-isakmp

r1(config-crypto-map)#set peer 23.1.1.3

r1(config-crypto-map)#set transform-set ccie

r1(config-crypto-map)#match address 100

r1(config-crypto-map)#exit

r1(config)#int f0/0

r1(config-if)#crypto map l2l

r1(config-if)#exit

r1(config)#