ASA IPS 模块运行高级 IPS 软件,该软件提供主动、全面的入侵防御服务,可在蠕虫和网络病毒
等恶意流量影响网络之前,及时将其拦截。
ASA IPS 模块的配置示例
以下示例在混杂模式下将所有 IP 流量转移至 ASA IPS 模块,并在 ASA IPS 模块卡因任何原因出现故障时阻止所有 IP 流量:
hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
以下示例在内联模式下将本该转入 10.1.1.0 网络和 10.2.1.0 网络的所有 IP 流量都转移至 AIP SSM,并在 AIP SSM 因任何原因出现故障的情况下允许所有流量通过。对于 my-ips-class 流量,使用 sensor1 ;对于 my-ips-class2 流量,使用 sensor2。
hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list my-ips-acl
hostname(config)# class-map my-ips-class2
hostname(config-cmap)# match access-list my-ips-acl2
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-open sensor sensor1
hostname(config-pmap)# class my-ips-class2
hostname(config-pmap-c)# ips inline fail-open sensor sensor2
hostname(config-pmap-c)# service-policy my-ips-policy interface outside
等恶意流量影响网络之前,及时将其拦截。
ASA IPS 模块的配置示例
以下示例在混杂模式下将所有 IP 流量转移至 ASA IPS 模块,并在 ASA IPS 模块卡因任何原因出现故障时阻止所有 IP 流量:
hostname(config)# access-list IPS permit ip any any
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list IPS
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips promiscuous fail-close
hostname(config-pmap-c)# service-policy my-ips-policy global
以下示例在内联模式下将本该转入 10.1.1.0 网络和 10.2.1.0 网络的所有 IP 流量都转移至 AIP SSM,并在 AIP SSM 因任何原因出现故障的情况下允许所有流量通过。对于 my-ips-class 流量,使用 sensor1 ;对于 my-ips-class2 流量,使用 sensor2。
hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0
hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0
hostname(config)# class-map my-ips-class
hostname(config-cmap)# match access-list my-ips-acl
hostname(config)# class-map my-ips-class2
hostname(config-cmap)# match access-list my-ips-acl2
hostname(config-cmap)# policy-map my-ips-policy
hostname(config-pmap)# class my-ips-class
hostname(config-pmap-c)# ips inline fail-open sensor sensor1
hostname(config-pmap)# class my-ips-class2
hostname(config-pmap-c)# ips inline fail-open sensor sensor2
hostname(config-pmap-c)# service-policy my-ips-policy interface outside
