这些年我收集很多配置技巧为思科安全装置。我学到一些通过热血、汗水和眼泪,有些是从人向我传递了同样的方式。我想它的时候我通过一些给你。每周我会发布一个博客的另一个思科安全配置,如果有某些产品你想建议让我知道在这个博客评论。这周我找错思科ip。像所有的IPS产品思科ip需要针对您的环境,如果你希望它是最有效的。默认情况下,思科ip附带一个子集的签名基地启用和子网禁用。还出来的框设置为特定的签名和风险评级下降。看看我的前一篇文章主题的细节。尽管传感器带有一些pre-tuned签名还是必要的传感器适应您的特定环境。调优对于我意味着两件事:调优的假阳性发现在您的环境,也使一些默认禁用签名在您的环境中提高传感器的有效性。两种工作可以耗费时间如果您以前没有使用过的解决方案之前,这里有一些技巧可以帮助你更快地优化您的传感器。1)创建一个新的Min-Risk(最低风险)风险类别事件动作规则。首先改变的风险阈值30内置LOWRISK类别。然后加入你的新Min-Risk类别的风险阈值1。
2)创建一个事件动作覆盖停止报警在任何签名了不到30的风险等级。是罕见的签名的冲击的风险评级价值保持低于30是真实的或值得你关注。因此优化出任何RR触及不到30维护你的安全和减少了琐碎的事件数据。
3)定义您的关键任务的主机在目标值评级配置部分。目标价值评定(TVR)是用于调整风险评级更高或更低。主机最关键的因素是风险越大评级将被改变。服务器和数据中心子网是好候选人定义雷竞技电脑网站为关键任务。你也想要告诉你的ip主机低临界。通常,客人网络应该放在这一类。您提供的更多信息的传感器网络使用各种TVR设置它会更好的保护自己的网络,为您提供有意义的事件数据。
4)当你经历你的调优阶段和IPS是内联我建议您关闭默认事件动作覆盖。默认规则将会下降的任何交通风险等级为90 - 100。禁用此规则阻止传感器基于风险评级下降流量。
有些签名设置为默认数据包。迅速覆盖这些签名的下降功能优化传感器时,创建一个事件动作过滤器。这个过滤器规则将删除所有从签名功能。提示4号的两个任务将确保您的ip传感器不放弃任何流量,直到你想要的。它给你心灵的平静,你不会放弃任何关键的交通而你还在优化环境的传感器。
5)打开“诱导多能性”与“标准”全球相关风险评级调整启用。也使声誉过滤。这是一个小的很糟糕的IP地址,如果完全被你的传感器就会下降。使用这些特性将大大增加你的疗效下降的决定。注意:该功能只能如果传感器将源地址从互联网。如果是纯粹的内部交通比你会看到小值这个特性。
如果你有任何调优提示自己的所有学习请张贴。这是思科ip调优指南中有一些好的建议。导游有点过时,但仍使用声音调优的最佳实践。http://www.cisco.com/en/us/prod/collateral/vpndevc/ps5729/ps5713/ps4077/overview_c17 - 464691. - html调优快乐!
这里给出的意见和信息是我的个人观点,而不是我的雇主。我在我的雇主官方发言人。
从杰米Heary更多:信用卡略读:小偷如何窃取你的信用卡信息在你不知道的情况下谷歌Nexus One和十大手机安全需求你为什么总是要撕碎你的登机牌吗 视频租赁记录提供更多的比你的在线数据隐私保护新的SSL袭击的真相2009强城市传说IT安全/ >去 杰米的博客 更多关于安全的文章。*
*
*
*
*
*