取消
显示结果 
搜索替代 
您的意思是: 
cancel
4356
查看次数
84
有帮助
4
评论
fortune
VIP Alumni
VIP Alumni
211507e11ddmcqvs1csex9.jpg
检测威胁
ASA 上的威胁检测可以针对威胁提供第一道防御。威胁检测在第 3 层和第 4 层上工作,为设备上的流量制定基准,基于流量模式分析丢包统计信息,并累计“ 前面的” 报告。相比之下,提供 IPS或下一代 IPS 服务的模块可以在 ASA 允许的流量上识别和减少高达第 7 层的攻击媒介,并且无法看到已被 ASA 丢弃的流量。因此,威胁检测和 IPS 能够协同工作,以提供更加全面的威胁防御。
威胁检测由以下要素组成:
• 为各种威胁收集的不同级别统计信息。
威胁检测统计信息可以帮助您管理 ASA 遭遇的威胁;例如,如果启用扫描威胁检测,则查看统计信息有助于分析威胁。您可以配置两种类型的威胁检测统计信息:
– 基础威胁检测统计信息 - 包括有关针对整个系统的攻击活动的信息。默认情况下启用基础威胁检测统计信息,并且不会对性能产生影响。
– 高级威胁检测统计信息 - 跟踪对象级活动,因此,ASA 能够报告针对单个主机、端口、协议或 ACL 的活动。高级威胁检测统计信息会对性能产生重
要影响,具体情况视收集的统计信息而定,因此,在默认情况下,仅启用 ACL 统计信息。
• 扫描威胁检测,其确定主机何时执行扫描。或者,您可以避开任何被确定为扫描威胁的主机。
基础威胁检测统计信息
使用基础威胁检测统计信息,ASA 监控由以下原因造成的丢包和安全事件比率:
• 被 ACL 拒绝。
• 数据包格式不对(例如,invalid-ip-header 或 invalid-tcp-hdr-length)。
• 超出连接限制(系统范围的资源限制和在配置中设定的限制)。
• 检测到 DoS 攻击(例如,无效 SPI、状态防火墙检查故障)。
• 基础防火墙检查失败。此选项是一个组合比率,包含此列表中所有与防火墙有关的丢包。它不包含与防火墙无关的丢包,例如接口过载、应用检测失败
的数据包以及检测到的扫描攻击。
• 检测到可疑的 ICMP 数据包。
• 数据包未通过应用检测。
• 接口过载。
• 检测到扫描攻击。此选项监控扫描攻击;例如,第一个 TCP 数据包不是 SYN 数据包,或者TCP 连接在三次握手时失败。例如,完整扫描威胁检测采
用此扫描攻击比率信息,通过将主机分类为攻击者并自动避开它们,从而对此信息发挥作用。
• 检测到不完整会话,例如,检测到 TCP SYN 攻击或未检测到数据 UDP 会话攻击。
配置基础威胁检测统计信息
默认情况下,启用基础威胁检测统计信息。您可以禁用此功能,或者,如果已禁用,可以再次启用。
步骤 1 启用基础威胁检测统计信息(如果以前已禁用)。
threat-detection basic-threat
步骤 2 (可选)更改一种或多种事件类型的默认设置。
threat-detection rate {acl-drop | bad-packet-drop | conn-limit-drop | dos-drop |
fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack}
rate-interval rate_interval average-rate av_rate burst-rate burst_rate
威胁检测示例
以下示例配置基础威胁检测统计信息,并且更改 DoS 攻击比率设置。启用所有高级威胁检测统计信息,比率间隔的主机统计信息数量低至 2。还自定义 TCP 拦截比率间隔。启用扫描威胁检测,自动避开除了 10.1.1.0/24 以外的所有地址。自定义扫描威胁比率间隔。
threat-detection basic-threat
threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100
threat-detection statistics
threat-detection statistics host number-of-rate 2
threat-detection statistics tcp-intercept rate-interval 60 burst-rate 800 average-rate 600
threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0
threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20
threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20
评论
13nash
Level 8
Level 8
不错的资料
938332752
Level 7
Level 7
现在很多情况大家都只是设备上架配置基本的东西,这个都不配做
fortune
VIP Alumni
VIP Alumni
13nash 发表于 2018-8-27 09:08
不错的资料

:D 有需要的
fortune
VIP Alumni
VIP Alumni
938332752 发表于 2018-9-1 10:29
现在很多情况大家都只是设备上架配置基本的东西,这个都不配做

一般人不配置,熟悉的可以根据实际情况修改配置
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接