简单IPS配置

简单I P S配置-CAL-FENGHAI-(2020YEAR-YICAI)_JINGBIAN
简单IPS配置命令
1.在路由器中创建一个文件夹为IPS专用文件夹.
R1#mkdir IPS
2.在路由器中选择IPS相关文件以及signature存放位置
R1(config)#ip ips config location flash:IPS
3.在路由器中创建一个IPS规则名称
R1(config)# ip ips name IPS
4.在路由器中启动日志记录
R1(config)# ip ips notify log
5.在路由器中利用signature配置IOS-IPS ，关闭所有的
signature防止路由器死机，启动基本的signature
ip ips signature-category
R1(config-ips-category)# category all
R1(config-ips-category-action)# retired true
R1(config-ips-category-action)# exit
R1(config-ips-category)# category ios_ips basic
R1(config-ips-category-action)# retired false
R1(config-ips-category-action)# exit
R1(config-ips-cateogry)# exit
6.在路由器中的接口中启动所定义的IPS规则
R1(config)#interface FastEthernet 0/1
R1(config-if)#ip ips IPS in
R1(config-if)#ip ips IPS out
R1(config-if)#exit
R1(config)#exit
7.在路由器中导入cisco路由器的公钥
8.在路由器中导入signature文件包
R1#copy tftp:ip address file name flash:IPS
9.在路由器中启动idconfig 命令将signature应用到IPS服务中
R1#copy flash:IPS/file name idconfig
10.在路由器中配置signature 2004 0的规则与动作
R1(config)# ip ips signature-definition
R1(config-sigdef)# signature 2004 0
R1(config-sigdef-sig)# status
R1(config-sigdef-sig-status)# retired false
R1(config-sigdef-sig-status)# enabled true
R1(config-sigdef-sig-status)# exit R1(config-sigdef-sig)#alert-severity high / informational / low /medium(警告级别)
R1(config-sigdef-sig)# engine
R1(config-sigdef-sig-engine)# event-action produce-alert(产生警告)
R1(config-sigdef-sig-engine)# event-action deny-packet-inline R1(config-sigdef-sig-engine)# exit
R1(config-sigdef-sig)# exit
R1(config-sigdef)# exit
公钥：crypto key pubkey-chain rsa
named-key realm-cisco.pub signature
key-string
30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9
689782A5 CF31CB6E B4B094D3
F3020301 0001
quit
交换机端口限制
interface FastEthernet4/1
switchport mode access
switchport port-security
switchport port-security maximum 2
switchport port-security mac-address sticky
switchport port-security mac-address sticky 0002.1629.5E9E switchport port-security mac-address sticky 0090.2B7A.DC0C
简单的区域防火墙
实验要求2：内网R1能ping通Internet 跟DMZ区域
DMZ区域不能访问Internet和内网
Internet不能ping通内网和DMZ区域，但是Internet可以访问DMZ区域的HTTP服务
1创建zone/关联zone到接口
FireWall (config)#zone security Private//创建安全区域?Private(私有网络) FireWall (config-sec-zone)#exi
FireWall (config)#zone security Internet//创建外部安全区域Internet
FireWall (config-sec-zone)#exi
FireWall (config)#zone security DMZ//创建安全区域?DMZ (DMZ网络)
FireWall (config-sec-zone)#exi
FireWall (config)#int f0/0
FireWall (config-if)#zone-member security Private//关联zone到接口
FireWall (config-if)#int f0/1
FireWall (config-if)#zone-member security Internet
FireWall (config-if)#int f1/0
FireWall (config-if)#zone-member security DMZ
2配置class-map匹配流量
FireWall(config)#class-map type inspect match-any Private-To-Internet//创建私有网络到Internet网络的匹配条件名为Private-To-Internet
FireWall(config-cmap)#match protocol http
FireWall(config-cmap)#match protocol icmp
FireWall(config-cmap)#match protocol tcp
FireWall(config-cmap)#match protocol udp
FireWall(config-cmap)#match protocol telnet
FireWall(config-cmap)#match protocol ip
FireWall(config-cmap)#match protocol ntp
FireWall(config-cmap)#exit
FireWall(config)#class-map type inspect match-any Internet-To-DMZ //创建Internet网络到DMZ网络的匹配条件名为Internet-To-DMZ
FireWall(config-cmap)#match protocol http
FireWall(config-cmap)#match protocol tcp
FireWall(config-cmap)#exit??
3配置parameter-map（Cisco PacketTracer5.3不支持此项配置）
R1(config)#parameter-map type inspect Private-To-Internet.pa
FireWall(config-profile)#max-incomplete low 800
FireWall(config-profile)#max-incomplete high 1000
FireWall(config-profile)#tcp synwait-time 5
FireWall(config-profile)#tcp finwait-time 5
FireWall(config-profile)#tcp idle-time 5
FireWall(config-profile)#exi
FireWall(config)#parameter-map type inspect Internet-To-DMZ.pa
FireWall(config-profile)#max-incomplete low 800
FireWall(config-profile)#max-incomplete high 1000
FireWall(config-profile)#tcp synwait-time 5
FireWall(config-profile)#tcp finwait-time 5
FireWall(config-profile)#tcp idle-time 5
FireWall(config-profile)#exi
4配置policy-map
FireWall(config)#policy-map type inspect 1 //创建策略1
FireWall(config-pmap)#class type inspect Private-To-Internet //在策略中使用匹配条件Private-To-Internet
FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect
FireWall(config-pmap-c)#class type inspect class-default //配置默认
FireWall(config-pmap-c)#end
FireWall#conf t
FireWall(config)#policy-map type inspect 2 //创建策略2
FireWall(config-pmap)#class type inspect Internet-To-DMZ //在策略中使用匹配条件Internet-To-DMZ
FireWall(config-pmap-c)#inspect //定义满足条件时的行为inspect
FireWall(config-pmap-c)#class type inspect class-default??//配置默认
FireWall(config-pmap-c)#end
5运用policy-map到zone-pairs
FireWall(config)#zone-pair security Private-Internet source Private destination Internet//创建从私有网络到Internet区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略
应用策略1
FireWall(config-sec-zone-pair)#exit
FireWall(config)#zone-pair security Private-DMZ source Private destination DMZ//创建从私有网络到DMZ区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 1 //定义区域间的策略
应用策略1
FireWall(config-sec-zone-pair)#exit??
FireWall(config)#zone-pair security Internet-DMZ source Internet destination DMZ //创建从Internet到DMZ区域之间的区域策略
FireWall(config-sec-zone-pair)#service-policy type inspect 2 //定义区域间的策略
应用策略2
SPAN端口镜像
(1)创建 SPAN 源端口
monitor session session_number source interface interface-id [, | -] [both | rx | tx] **session_number,SPAN 会话号，我记得 3550 支持的最多本地 SPAN 是 2 个，即 1 或者 2。

**interface-id [, | -]源端口接口号，即被镜像的端
口，交换机会把这个端口的流量拷贝一份，可以输入多个端口，多个用“,”
隔开，连续的用“-”连接。

**[both | rx | tx]，可选项，是指拷贝源端口双向的(both)、仅进入(rx)还是仅发出(tx)的流量，默认是 both。

(2)创建 SPAN 目的端口 monitor session session_number destination interface
interface-id
[encapsulation {dot1q [ingress vlan vlan id] | ISL [ingress]} | ingress vlan vlan id] **一样的我就不说了。

**session_number 要和上面的一致。

**interface-id 目的端口，在源端口被拷贝的流量会从这个端口发出去，端口号不能被包含在源端口的范围内。

**[encapsulation {dot1q | isl}]，可选，指被从目的
端口发出去时是否使用 802.1q 和 isl 封装，当使用 802.1q 时，对于本地VLAN 不进行封装，其他 VLAN 封装，ISL 则全部封装。

EZVPN配置：
r1(config)#aaa new-model
r1(config)#aaa authentication login cisco1 local group radius r1(config)#aaa authorization network cisco2 local group radius r1(config)#username chinaccie password chinaccie
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#encryption 3des
r1(config-isakmp)#hash sha
r1(config-isakmp)#authentication pre-share r1(config-isakmp)#group 2
r1(config-isakmp)#exit
r1(config)#ip local pool net10 10.1.1.100 10.1.1.200
r1(config)#crypto isakmp client configuration group chinaccie r1(config-isakmp-group)#key cisco123 r1(config-isakmp-group)#dns 202.96.209.133 r1(config-isakmp-group)#pool net10 r1(config-isakmp-group)#domain
r1(config-isakmp-group)#exit
r1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
r1(config)#crypto dynamic-map mymap 1 r1(config-crypto-map)#reverse-route r1(config-crypto-map)#set transform-set ccie r1(config-crypto-map)#exit
r1(config)#crypto map ezvpn client configuration address respond （如果client 是1.x，则不是respond而是initiate） r1(config)#crypto map ezvpn client authentication list cisco1 （定义认证）
r1(config)#crypto map ezvpn isakmp authorization list cisco2 （定义认证查询IKE querying）
r1(config)#crypto map ezvpn 1 ipsec-isakmp dynamic mymap
r1(config)#int f0/0
r1(config-if)#crypto map ezvpn
*Mar 1 00:27:51.587: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
r1(config-if)#exi
IPSECVPN配置：
r1(config)#crypto isakmp policy 1
r1(config-isakmp)#encryption 3des
r1(config-isakmp)#hash sha
r1(config-isakmp)#authentication pre-share r1(config-isakmp)#group 2
r1(config-isakmp)#exit
r1(config)#crypto isakmp key 0 cisco123 address 23.1.1.3
r1(config)#crypto ipsec transform-set ccie esp-3des esp-sha-hmac
r1(cfg-crypto-trans)#exit
r1(config)#access-list 100 permit ip 10.1.1.0 0.0.0.255 192.168.1.0 0.0.0.255 r1(config)#crypto map l2l 1 ipsec-isakmp r1(config-crypto-map)#set peer 23.1.1.3 r1(config-crypto-map)#set transform-set ccie r1(config-crypto-map)#match address 100 r1(config-crypto-map)#exit
r1(config)#int f0/0
r1(config-if)#crypto map l2l
r1(config-if)#exit
r1(config)#。