请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 627|回复: 4

ASA9.X 威胁检测配置

[复制链接]
发表于 2018-8-26 21:15:21 | 显示全部楼层 |阅读模式


检测威胁
ASA 上的威胁检测可以针对威胁提供第一道防御。威胁检测在第 3 层和第 4 层上工作,为设备上的流量制定基准,基于流量模式分析丢包统计信息,并累计“ 前面的” 报告。相比之下,提供 IPS或下一代 IPS 服务的模块可以在 ASA 允许的流量上识别和减少高达第 7 层的攻击媒介,并且无法看到已被 ASA 丢弃的流量。因此,威胁检测和 IPS 能够协同工作,以提供更加全面的威胁防御。

威胁检测由以下要素组成:
• 为各种威胁收集的不同级别统计信息。
威胁检测统计信息可以帮助您管理 ASA 遭遇的威胁;例如,如果启用扫描威胁检测,则查看统计信息有助于分析威胁。您可以配置两种类型的威胁检测统计信息:
– 基础威胁检测统计信息 - 包括有关针对整个系统的攻击活动的信息。默认情况下启用基础威胁检测统计信息,并且不会对性能产生影响。

– 高级威胁检测统计信息 - 跟踪对象级活动,因此,ASA 能够报告针对单个主机、端口、协议或 ACL 的活动。高级威胁检测统计信息会对性能产生重   

    要影响,具体情况视收集的统计信息而定,因此,在默认情况下,仅启用 ACL 统计信息。

• 扫描威胁检测,其确定主机何时执行扫描。或者,您可以避开任何被确定为扫描威胁的主机。

基础威胁检测统计信息
使用基础威胁检测统计信息,ASA 监控由以下原因造成的丢包和安全事件比率:
• 被 ACL 拒绝。
• 数据包格式不对(例如,invalid-ip-header 或 invalid-tcp-hdr-length)。
• 超出连接限制(系统范围的资源限制和在配置中设定的限制)。
• 检测到 DoS 攻击(例如,无效 SPI、状态防火墙检查故障)。
• 基础防火墙检查失败。此选项是一个组合比率,包含此列表中所有与防火墙有关的丢包。它不包含与防火墙无关的丢包,例如接口过载、应用检测失败
  的数据包以及检测到的扫描攻击。
• 检测到可疑的 ICMP 数据包。
• 数据包未通过应用检测。
• 接口过载。
• 检测到扫描攻击。此选项监控扫描攻击;例如,第一个 TCP 数据包不是 SYN 数据包,或者TCP 连接在三次握手时失败。例如,完整扫描威胁检测采
  用此扫描攻击比率信息,通过将主机分类为攻击者并自动避开它们,从而对此信息发挥作用。
• 检测到不完整会话,例如,检测到 TCP SYN 攻击或未检测到数据 UDP 会话攻击。


配置基础威胁检测统计信息
默认情况下,启用基础威胁检测统计信息。您可以禁用此功能,或者,如果已禁用,可以再次启用。

步骤 1 启用基础威胁检测统计信息(如果以前已禁用)。
threat-detection basic-threat

步骤 2 (可选)更改一种或多种事件类型的默认设置。
threat-detection rate {acl-drop | bad-packet-drop | conn-limit-drop | dos-drop |
fw-drop | icmp-drop | inspect-drop | interface-drop | scanning-threat | syn-attack}
rate-interval rate_interval average-rate av_rate burst-rate burst_rate

威胁检测示例
以下示例配置基础威胁检测统计信息,并且更改 DoS 攻击比率设置。启用所有高级威胁检测统计信息,比率间隔的主机统计信息数量低至 2。还自定义 TCP 拦截比率间隔。启用扫描威胁检测,自动避开除了 10.1.1.0/24 以外的所有地址。自定义扫描威胁比率间隔。
threat-detection basic-threat
threat-detection rate dos-drop rate-interval 600 average-rate 60 burst-rate 100
threat-detection statistics
threat-detection statistics host number-of-rate 2
threat-detection statistics tcp-intercept rate-interval 60 burst-rate 800 average-rate 600
threat-detection scanning-threat shun except ip-address 10.1.1.0 255.255.255.0
threat-detection rate scanning-threat rate-interval 1200 average-rate 10 burst-rate 20
threat-detection rate scanning-threat rate-interval 2400 average-rate 10 burst-rate 20





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (5 评价)
发表于 2018-8-27 09:08:15 | 显示全部楼层
不错的资料
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
发表于 2018-9-1 10:29:07 | 显示全部楼层
现在很多情况大家都只是设备上架配置基本的东西,这个都不配做
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
 楼主| 发表于 2018-9-1 11:25:31 | 显示全部楼层

      有需要的
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
 楼主| 发表于 2018-9-1 11:26:01 | 显示全部楼层
938332752 发表于 2018-9-1 10:29
现在很多情况大家都只是设备上架配置基本的东西,这个都不配做

一般人不配置,熟悉的可以根据实际情况修改配置
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (1 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-9-24 06:44 , Processed in 0.093635 second(s), 44 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表