تكوين IPS باستخدام توقيعات تنسيق 5.x

المقدمة

يصف هذا وثيقة كيف أن يشكل 5.x تنسيق توقيع في cisco ios ^® IPS وينظم في إثنان قسم:

• القسم I. يحصل يبدأ تشكيل steps— يوفر هذا القسم الخطوات اللازمة لاستخدام واجهة سطر الأوامر (CLI) من Cisco IOS لبدء إستخدام توقيعات تنسيق IOS IPS 5.x. يصف هذا القسم الخطوات التالية:

  الخطوة 1. قم بتنزيل ملفات IOS IPS.

  الخطوة 2. قم بإنشاء دليل تكوين IOS IPS على Flash.

  الخطوة 3. تكوين مفتاح تشفير IOS IPS.

  الخطوة 4. قم بتمكين IOS IPS.

  الخطوة 5. تحميل حزمة توقيع IOS IPS إلى الموجه.

  يتم وصف كل خطوة وأوامر محددة بالتفصيل، بالإضافة إلى أوامر ومراجع إضافية. يتم عرض مثال التكوين أسفل كل أمر.

• الباب الثاني. خيارات التكوين المتقدمة- يقدم هذا القسم تعليمات وأمثلة على الخيارات المتقدمة لضبط التوقيع. يحتوي على هذه الخيارات:

  توقيعات الخروج أو إلغاء التقاعد

  تمكين التوقيعات أو تعطيلها

  تغيير إجراءات التوقيع

المتطلبات الأساسية

المتطلبات

تأكد من أن لديك المكونات المناسبة (كما هو موضح في المكونات المستخدمة) قبل إكمال الخطوات الواردة في هذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• موجه الخدمات المدمجة من Cisco (87x أو 18xx أو 28xx أو 38xx)

• ذاكرة DRAM سعة 128 ميجابايت أو أكثر وذاكرة فلاش حرة سعة 2 ميجابايت على الأقل

• اتصال وحدة التحكم أو برنامج Telnet بالموجه

• برنامج IOS الإصدار 12.4(15)T3 أو إصدار أحدث من Cisco

• قام CCO (Cisco.com) صالح بتسجيل دخول اسم المستخدم وكلمة المرور

• عقد خدمة Cisco IPS الحالي لخدمات تحديث التوقيع المرخص

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

القسم I. يحصل يبدأ تشكيل steps

الخطوة 1. تنزيل ملفات IOS IPS

تتمثل الخطوة الأولى في تنزيل ملفات حزمة توقيع IOS IPS ومفتاح التشفير العام من Cisco.com.

قم بتنزيل ملفات التوقيع المطلوبة من Cisco.com إلى الكمبيوتر:

• الموقع: http://www.cisco.com/pcgi-bin/tablebuild.pl/ios-v5sigup (للعملاء المسجلين فقط)

• الملفات المطلوب تنزيلها:

  • IOS-SXXX-CLI.PKG (العملاء المسجلون فقط) — هذه هي أحدث حزمة توقيع.

  • realm-cisco.pub.key.txt (العملاء المسجلون فقط) — هذا هو مفتاح التشفير العام المستخدم من قبل IOS IPS.

الخطوة 2. إنشاء دليل تكوين IOS IPS على Flash

تتمثل الخطوة الثانية في إنشاء دليل على ذاكرة Flash الخاصة بالموجه لديك حيث يمكنك تخزين ملفات التوقيع والتكوينات المطلوبة. بدلا من ذلك، يمكنك إستخدام محرك أقراص Cisco USB محمول متصل بمنفذ USB الخاص بالموجه لتخزين ملفات التوقيع والتكوينات. يجب أن يظل محرك أقراص USB المحمول متصلا بمنفذ USB الخاص بالموجه إذا تم إستخدامه كموقع دليل تكوين IOS IPS. كما يدعم IOS IPS أي نظام ملف IOS كموقع تكوين له مع الوصول للكتابة بشكل صحيح.

لإنشاء دليل، أدخل هذا الأمر في موجه الأمر: mkdir <اسم الدليل>

على سبيل المثال:

router#mkdir ips
Create directory filename [ips]?
Created dir flash:ips

الأوامر والمراجع الإضافية

دخلت in order to دققت المحتوى من البرق، هذا أمر في المسحاج تخديد: أبديت برق:

على سبيل المثال:

router#dir flash:
Directory of flash:/
   5 -rw-   51054864 Feb 8 2008 15:46:14 -08:00 
                     c2800nm-advipservicesk9-mz.124-15.T3.bin
   6 drw-      0 Feb 14 2008 11:36:36 -08:00 ips
64016384 bytes total (12693504 bytes free)

لإعادة تسمية اسم الدليل، أستخدم هذا الأمر: أعد تسمية <الاسم الحالي> <اسم جديد>

على سبيل المثال:

router#rename ips ips_new
Destination filename [ips_new]?

الخطوة 3. تكوين مفتاح تشفير IOS IPS

تتمثل الخطوة الثالثة في تكوين مفتاح التشفير المستخدم من قبل IOS IPS. يوجد هذا المفتاح في ملف realm-cisco.pub.key.txt الذي تم تنزيله في الخطوة 1.

يتم إستخدام مفتاح التشفير للتحقق من التوقيع الرقمي لملف التوقيع الرئيسي (sigdef-default.xml) الذي يتم توقيع محتوياته بواسطة مفتاح Cisco الخاص لضمان أصالته وسلامته في كل إصدار.

1. افتح الملف النصي، وانسخ محتويات الملف.

2. أستخدم الأمر configure terminal لإدخال وضع تكوين الموجه.

3. الصق محتوى الملف النصي في نافذة مطالبة <hostname>(config)#.

4. خرجت مسحاج تخديد تشكيل أسلوب.

5. أدخل الأمر show run في موجه الأمر Router لتأكيد تكوين مفتاح التشفير. أنت سوفت رأيت هذا إنتاج في التشكيل:

   crypto key pubkey-chain rsa
   named-key realm-cisco.pub signature
   key-string
   30820122 300D0609 2A864886 F70D0101 01050003 82010F00 3082010A 02820101
   00C19E93 A8AF124A D6CC7A24 5097A975 206BE3A2 06FBA13F 6F12CB5B 4E441F16
   17E630D5 C02AC252 912BE27F 37FDD9C8 11FC7AF7 DCDD81D9 43CDABC3 6007D128
   B199ABCB D34ED0F9 085FADC1 359C189E F30AF10A C0EFB624 7E0764BF 3E53053E
   5B2146A9 D7A5EDE3 0298AF03 DED7A5B8 9479039D 20F30663 9AC64B93 C0112A35
   FE3F0C87 89BCB7BB 994AE74C FA9E481D F65875D6 85EAF974 6D9CC8E3 F0B08B85
   50437722 FFBE85B9 5E4189FF CC189CB9 69C46F9C A84DFBA5 7A0AF99E AD768C36
   006CF498 079F88F8 A3B3FB1F 9FB7B3CB 5539E1D1 9693CCBB 551F78D2 892356AE
   2F56D826 8918EF3C 80CA4F4D 87BFCA3B BFF668E9 689782A5 CF31CB6E B4B094D3
   F3020301 0001
   Quit

6. استعملت هذا أمر in order to أنقذت التشكيل:

   copy running-configure startup-configure

الأوامر والمراجع الإضافية

إذا تم تكوين المفتاح بشكل غير صحيح، فيجب عليك إزالة مفتاح التشفير أولا ثم إعادة تكوينه:

1. دخلت in order to أزلت المفتاح، هذا أمر in order to عددت أدناه:

   router#configure terminal
   router(config)#no crypto key pubkey-chain rsa
   router(config-pubkey-chain)#no named-key realm-cisco.pub signature
   router(config-pubkey-chain)#exit
   router(config)#exit
   

2. أستخدم الأمر show run للتحقق من إزالة المفتاح من التكوين.

3. أكمل الإجراء في الخطوة 3 لإعادة تكوين المفتاح.

الخطوة 4. تمكين IOS IPS

تتمثل الخطوة الرابعة في تكوين IOS IPS. أكمل هذا الإجراء لتكوين IOS IPS:

1. أستخدم الأمر ip ips name <rule name> <acl الاختياري لإنشاء اسم قاعدة. (سيتم إستخدام هذا على واجهة لتمكين IPS.)

   على سبيل المثال:

   router#configure terminal
   router(config)#ip ips name iosips
   

   يمكنك تحديد قائمة تحكم في الوصول (ACL) إختيارية موسعة أو قياسية لتصفية حركة المرور التي سيتم مسحها ضوئيا باسم القاعدة هذا. تخضع جميع حركة المرور المسموح بها من قبل قائمة التحكم في الوصول (ACL) إلى الفحص بواسطة IPS. لا يتم فحص حركة المرور التي يتم رفضها بواسطة قائمة التحكم في الوصول (ACL) بواسطة IPS.

   router(config)#ip ips name ips list ?
   <1-199> Numbered access list
   WORD Named access list

2. أستخدم الأمر ip ips config location flash:<directory name>لتكوين موقع تخزين توقيع IPS. (هذا هو دليل ips الذي تم إنشاؤه في الخطوة 2.)

   على سبيل المثال:

   router(config)#ip ips config location flash:ips
   

3. أستخدم الأمر ip ips notify sdee لتمكين إعلام حدث IPS sdee.

   على سبيل المثال:

   router(config)#ip ips notify sdee
   

   لاستخدام SDEE، يجب تمكين خادم HTTP (باستخدام الأمر ip http server). في حالة عدم تمكين خادم HTTP، يتعذر على الموجه الاستجابة لعملاء SDEE لأنه لا يمكنه رؤية الطلبات. يتم تعطيل إعلام SDEE بشكل افتراضي ويجب تمكينه بشكل صريح.

   كما يدعم IOS IPS إستخدام syslog لإرسال إعلام الحدث. يمكن إستخدام SDEE و syslog بشكل مستقل أو تمكينه في نفس الوقت لإرسال إعلام حدث IOS IPS. يتم تمكين إعلام syslog بشكل افتراضي. إذا تم تمكين وحدة تحكم التسجيل، فسترى رسائل الدخول إلى النظام IPS. in order to مكنت syslog، استعملت هذا أمر:

   router(config)#ip ips notify log
   

4. قم بتكوين IOS IPS لاستخدام إحدى فئات التوقيع المحدد مسبقا.

   يعمل IOS IPS مع توقيعات التنسيق Cisco 5.x باستخدام فئات التوقيع (مثل أجهزة Cisco IPS). يتم تجميع جميع التوقيعات في فئات، وتكون الفئات هرمية. يساعد ذلك في تصنيف التوقيعات لتسهيل التجميع والضبط.

   تحذير: تحتوي فئة all signature على جميع التوقيعات في إصدار توقيع. بما أن IOS IPS لا يمكنه تجميع واستخدام جميع التوقيعات الواردة في إصدار توقيع في وقت واحد، فلا تقم بإلغاء اعتزال الفئة all، وإلا، فسينفدت ذاكرة الموجه.

   ملاحظة: عند تكوين IOS IPS، يجب أولا إلغاء جميع التوقيعات في الفئة كافة، ثم إلغاء إلغاء فئات التوقيع المحددة.

   ملاحظة: من المهم أيضا ترتيب تكوين فئات التوقيع على الموجه. يعالج IOS IPS أوامر الفئة بالترتيب الوارد في التكوين. تنتمي بعض التوقيعات إلى فئات متعددة. إذا تم تكوين فئات متعددة وينتمي التوقيع إلى أكثر من واحدة منها، فإن خصائص التوقيع (على سبيل المثال، المحجوزة وغير المحجوزة والإجراءات، إلخ) في الفئة التي تم تكوينها مؤخرا يتم إستخدامها من قبل IOS IPS.

   في هذا المثال، يتم إلغاء جميع التوقيعات في الفئة "all"، ومن ثم تكون الفئة الأساسية IOS IPS غير مستبعدة.

   router(config)#ip ips signature-category
   router(config-ips-category)#category all
   router(config-ips-category-action)#retired true
   router(config-ips-category-action)#exit
   router(config-ips-category)#category ios_ips basic
   router(config-ips-category-action)#retired false
   router(config-ips-category-action)#exit
   router(config-ips-category)#exit
   Do you want to accept these changes? [confirm]y
   router(config)#

5. أستخدم هذه الأوامر لتمكين قاعدة IPS على الواجهة المطلوبة، وحدد الإتجاه الذي سيتم تطبيق القاعدة فيه:

   قارن <interface name>

   ip ips <اسم القاعدة> [في | خارج]

   على سبيل المثال:

   router(config)#interface GigabitEthernet 0/1
   router(config-if)#ip ips iosips in
   router(config-if)#exit
   router(config)#exit
   router#

   ال in يعني فقط حركة مرور يذهب إلى القارن فحصت ب IPS. الوسيطة out تعني فقط حركة المرور الخارجة من الواجهة يتم فحصها بواسطة IPS.

   لتمكين IPS من فحص حركة مرور البيانات داخل الواجهة وخارجها على حد سواء، أدخل اسم قاعدة IPS للداخل والخارج على الواجهة نفسها:

   router(config)#interface GigabitEthernet 0/1
   router(config-if)#ip ips iosips in
   router(config-if)#ip ips iosips out
   router(config-if)#exit
   router(config)#exit
   router#

الخطوة 5. تحميل حزمة توقيع IOS IPS إلى الموجه

الخطوة الأخيرة هي تحميل حزمة التوقيع التي تم تنزيلها في الخطوة 1 إلى الموجه.

ملاحظة: أكثر طريقة شيوعا لتحميل حزمة التوقيع إلى الموجه هي إستخدام إما FTP أو TFTP. يستخدم هذا الإجراء FTP. يرجى الرجوع إلى قسم الأوامر والمراجع الإضافية في هذا الإجراء للحصول على طريقة بديلة لتحميل حزمة توقيع IOS IPS. إذا كنت تستخدم جلسة عمل على برنامج Telnet، فاستخدم الأمر terminal monitor لعرض مخرجات وحدة التحكم.

لتحميل حزمة التوقيع إلى الموجه، أكمل الخطوات التالية:

1. أستخدم هذا الأمر لنسخ حزمة التوقيع التي تم تنزيلها من خادم FTP إلى الموجه:

   copy ftp://<ftp_user:password@Server_IP_address>/<signature_package> idconf

   ملاحظة: الرجاء تذكر إستخدام المعلمة idconf في نهاية الأمر copy.

   ملاحظة: على سبيل المثال:

   router#copy ftp://cisco:cisco@10.1.1.1/IOS-S310-CLI.pkg idconf
   Loading IOS-S310-CLI.pkg !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
   [OK - 7608873/4096 bytes]

   يبدأ تجميع التوقيع مباشرة بعد تحميل حزمة التوقيع إلى الموجه. يمكنك مشاهدة السجلات الموجودة على الموجه مع تمكين مستوى التسجيل 6 أو أعلى.

   *Feb 14 16:44:47 PST: %IPS-6-ENGINE_BUILDS_STARTED: 16:44:47 PST Feb 14 2008
   *Feb 14 16:44:47 PST: %IPS-6-ENGINE_BUILDING: multi-string - 8 signatures - 
                         1 of 13 engines
   *Feb 14 16:44:47 PST: %IPS-6-ENGINE_READY: multi-string - build time 4 ms - 
                         packets for this engine will be scanned
   *Feb 14 16:44:47 PST: %IPS-6-ENGINE_BUILDING: service-http - 622 signatures - 
                         2 of 13 engines
   *Feb 14 16:44:53 PST: %IPS-6-ENGINE_READY: service-http - build time 6024 ms - 
                         packets for this engine will be scanned
   |
   output snipped
   |
   *Feb 14 16:45:18 PST: %IPS-6-ENGINE_BUILDING: service-smb-advanced - 35 signatures - 
                         12 of 13 engines
   *Feb 14 16:45:18 PST: %IPS-6-ENGINE_READY: service-smb-advanced - build time 16 ms - 
                         packets for this engine will be scanned
   *Feb 14 16:45:18 PST: %IPS-6-ENGINE_BUILDING: service-msrpc - 25 signatures - 
                         13 of 13 engines
   *Feb 14 16:45:18 PST: %IPS-6-ENGINE_READY: service-msrpc - build time 32 ms - 
                         packets for this engine will be scanned
   *Feb 14 16:45:18 PST: %IPS-6-ALL_ENGINE_BUILDS_COMPLETE: elapsed time 31628 ms

2. أستخدم الأمر show ip ips signature count للتحقق من تحويل حزمة التوقيع برمجيا بشكل صحيح.

   على سبيل المثال:

   router#show ip ips signature count
   Cisco SDF release version S310.0 ← signature package release version
   Trend SDF release version V0.0
   Signature Micro-Engine: multi-string: Total Signatures 8
   multi-string enabled signatures: 8
   multi-string retired signatures: 8
   |
   outpt snipped
   |
   Signature Micro-Engine: service-msrpc: Total Signatures 25
   service-msrpc enabled signatures: 25
   service-msrpc retired signatures: 18
   service-msrpc compiled signatures: 1
   service-msrpc inactive signatures - invalid params: 6
   Total Signatures: 2136
   Total Enabled Signatures: 807
   Total Retired Signatures: 1779
   Total Compiled Signatures: 
         351 ← total compiled signatures for the IOS IPS Basic category
   Total Signatures with invalid parameters: 6
   Total Obsoleted Signatures: 11
   router#

الأوامر والمراجع الإضافية

مفتاح التشفير العام غير صالح إذا إستلمت رسالة خطأ في وقت تجميع التوقيع مماثلة لرسالة الخطأ هذه:

%IPS-3-INVALID_DIGITAL_SIGNATURE: Invalid Digital Signature found (key not found)

راجع الخطوة 3 للحصول على مزيد من المعلومات.

إذا لم يكن لديك حق الوصول إلى خادم FTP أو TFTP، فيمكنك إستخدام محرك أقراص USB محمول لتحميل حزمة التوقيع إلى الموجه. أولا، انسخ حزمة التوقيع على محرك أقراص USB، وقم بتوصيل محرك أقراص USB بأحد منافذ USB على الموجه، ثم أستخدم الأمر copy مع معلمة idconf لنسخ حزمة التوقيع إلى الموجه.

على سبيل المثال:

router#copy usbflash1:IOS-S310-CLI.pkg idconf

هناك ستة ملفات في دليل تخزين IOS IPS الذي تم تكوينه. تستخدم هذه الملفات تنسيق الاسم هذا: <router-name>-sigdef-xxx.xml أو <router-name>-seap-xxx.xml.

router#dir ips
Directory of flash:/ips/
7 -rw- 203419 Feb 14 2008 16:45:24 -08:00 router-sigdef-default.xml
8 -rw- 271 Feb 14 2008 16:43:36 -08:00 router-sigdef-delta.xml
9 -rw- 6159 Feb 14 2008 16:44:24 -08:00 router-sigdef-typedef.xml
10 -rw- 22873 Feb 14 2008 16:44:26 -08:00 router-sigdef-category.xml
11 -rw- 257 Feb 14 2008 16:43:36 -08:00 router-seap-delta.xml
12 -rw- 491 Feb 14 2008 16:43:36 -08:00 router-seap-typedef.xml
64016384 bytes total (12693504 bytes free)
router#

يتم تخزين هذه الملفات في تنسيق مضغوط ولا يمكن تحريرها أو عرضها مباشرة. ويرد أدناه وصف لمحتويات كل ملف:

• يحتوي Router-sigdef-default.xml على جميع تعريفات التوقيع الافتراضية الخاصة بالمصنع.

• يحتوي الموجه-sigdef-delta.xml على تعريفات توقيع تم تغييرها من الإعداد الافتراضي.

• يحتوي الموجه-sigdef-typedef.xml على جميع تعريفات معلمات التوقيع.

• يحتوي الموجه-sigdef-category.xml على معلومات فئة التوقيع، مثل الفئة IOS_IPS الأساسية والمتقدمة.

• يحتوي الموجه-seap-delta.xml على تغييرات تم إجراؤها على معلمات SEAP الافتراضية.

• يحتوي router-seap-typedef.xml على جميع تعريفات معلمات SEAP.

الباب الثاني. خيارات تكوين متقدمة

يقدم هذا القسم إرشادات وأمثلة على خيارات IOS IPS المتقدمة لضبط التوقيع.

توقيعات الخروج أو إلغاء التقاعد

لاستبعاد أو إلغاء إعتزال التوقيع يعني تحديد أو إلغاء تحديد التوقيعات التي يتم إستخدامها من قبل IOS IPS لمسح حركة المرور.

• يعني إلغاء التوقيع أن IOS IPS لن يقوم بتحويل هذا التوقيع إلى ذاكرة للمسح الضوئي.

• يؤدي إلغاء تجزئة التوقيع إلى توجيه IOS IPS لتجميع التوقيع في الذاكرة واستخدام التوقيع لمسح حركة المرور.

يمكنك إستخدام واجهة سطر الأوامر (CLI) IOS لتبديل أو إلغاء توقيعات فردية أو مجموعة من التوقيعات التي تنتمي إلى فئة توقيع. عند إلغاء مجموعة من التوقيعات أو إلغائها، يتم إيقاف جميع التوقيعات في تلك الفئة أو إلغاء إحالتها.

ملاحظة: قد لا يمكن تحويل بعض التوقيعات غير المحجوزة (إما غير المحجوزة كتوقيعات فردية أو داخل فئة غير محجوزة) إلى برمجية بسبب عدم كفاية الذاكرة أو بسبب عدم صلاحية المعلمات أو إذا تم إلغاء التوقيع.

يوضح هذا المثال كيفية التخلص من التوقيعات الفردية. على سبيل المثال، توقيع 6130 بمعرف وحدة التخزين 10:

router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#ip ips signature-definition
router(config-sigdef)#signature 6130 10
router(config-sigdef-sig)#status
router(config-sigdef-sig-status)#retired true
router(config-sigdef-sig-status)#exit
router(config-sigdef-sig)#exit
router(config-sigdef)#exit
Do you want to accept these changes? [confirm]y
router(config)#

يوضح هذا المثال كيفية إلغاء إعتزال جميع التوقيعات التي تنتمي إلى الفئة الأساسية IOS IPS:

router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
router(config)#ip ips signature-category
router(config-ips-category)#category ios_ips basic
router(config-ips-category-action)#retired false
router(config-ips-category-action)#exit
router(config-ips-category)#exit
Do you want to accept these changes? [confirm]y

ملاحظة: عند إلغاء إلغاء إحالة التوقيعات في الفئات غير IOS IPS Basic و IOS IPS Advanced كفئة، قد يفشل تجميع بعض التوقيعات أو المحركات لأن توقيعات معينة في تلك الفئات غير مدعومة من قبل IOS IPS (انظر المثال أدناه). يتم إستخدام جميع التوقيعات الأخرى التي تم تحويلها برمجيا (غير موقوف) بنجاح من قبل IOS IPS لمسح حركة المرور.

Router(config)#ip ips signature-category
router(config-ips-category)#category os
router(config-ips-category-action)#retired false
router(config-ips-category-action)#exit
router(config-ips-category)#exit
Do you want to accept these changes? [confirm]y
*Feb 14 18:10:46 PST: Applying Category configuration to signatures ...
*Feb 14 18:10:49 PST: %IPS-6-ENGINE_BUILDS_STARTED: 08:10:49 PST Feb 18 2008
*Feb 14 18:10:49 PST: %IPS-6-ENGINE_BUILDING: multi-string - 8 signatures -  
                      1 of 13 engines
*Feb 14 18:10:49 PST: %IPS-6-ENGINE_READY: multi-string - build time 136 ms -  
                      packets for this engine will be scanned
*Feb 14 18:10:49 PST: %IPS-6-ENGINE_BUILDING: service-http - 622 signatures -  
                      2 of 13 engines
*Feb 14 18:10:50 PST: %IPS-4-META_ENGINE_UNSUPPORTED: service-http 5903:1 -  
                      this signature is a component of the unsupported META engine
*Feb 14 18:24:42 PST: %IPS-4-SIGNATURE_COMPILE_FAILURE: service-http 5754:0 -  
                      compilation of regular expression failed
*Feb 14 18:24:49 PST: %IPS-4-SIGNATURE_COMPILE_FAILURE: service-http 5729:1 -  
                      compilation of regular expression failed

تمكين التوقيعات أو تعطيلها

لتمكين أو تعطيل توقيع ما هي فرض الإجراء (الإجراءات) المرتبطة بالتوقيعات التي يقوم بها IOS IPS عندما يتطابق تدفق الحزمة أو الحزمة مع التوقيعات أو تجاهلها.

ملاحظة: لا يحدد التمكين أو التعطيل التوقيعات التي سيتم إستخدامها من قبل IOS IPS ولا يلغيها.

• لتمكين التوقيع يعني أنه عندما يتم تشغيله من قبل حزمة مطابقة (أو تدفق حزمة)، فإن التوقيع يأخذ الإجراء المناسب المرتبط به. ومع ذلك، فإن التوقيعات غير المحجوزة والتي تم تجميعها بنجاح هي فقط التي ستتخذ الإجراء عند تمكينها. وبعبارة أخرى، إذا أحيل التوقيع إلى التقاعد، حتى وإن كان ممكنا، فإنه لن يتم تجميعه (لأنه متقاعد) ولن يتخذ الإجراء المرتبط به.

• لتعطيل التوقيع يعني أنه عندما يتم تشغيله من قبل حزمة مطابقة (أو تدفق حزمة)، لا يتخذ التوقيع الإجراء المناسب المرتبط به. وبعبارة أخرى، عندما يكون التوقيع معطلا، حتى وإن كان غير متقاعد وتم تجميعه بنجاح، فإنه لن يتخذ الإجراء المرتبط به.

يمكنك إستخدام واجهة سطر الأوامر (CLI) IOS لتمكين أو تعطيل التوقيعات الفردية أو مجموعة التوقيعات المستندة إلى فئات التوقيع. يوضح هذا المثال كيفية تعطيل التوقيع 6130 بمعرف الوحدة النمطية 10.

router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#ip ips signature-definition
router(config-sigdef)#signature 6130 10
router(config-sigdef-sig)#status
router(config-sigdef-sig-status)#enabled false
router(config-sigdef-sig-status)#exit
router(config-sigdef-sig)#exit
router(config-sigdef)#exit
Do you want to accept these changes? [confirm]y
router(config)#

يوضح هذا المثال كيفية تمكين جميع التوقيعات التي تنتمي إلى الفئة الأساسية IOS IPS.

router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
router(config)#ip ips signature-category
router(config-ips-category)#category ios_ips basic
router(config-ips-category-action)#enabled true
router(config-ips-category-action)#exit
router(config-ips-category)#exit
Do you want to accept these changes? [confirm]y
router(config)#

تغيير إجراءات التوقيع

يمكنك إستخدام واجهة سطر أوامر IOS (CLI) لتغيير إجراءات التوقيع لتوقيع واحد أو مجموعة من التوقيعات بناء على فئات التوقيع. يوضح هذا المثال كيفية تغيير إجراءات التوقيع للتنبيه والإفلات وإعادة الضبط للتوقيع 6130 بمعرف إجمالي 10.

router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
router(config)#ip ips signature-definition
router(config-sigdef)#signature 6130 10
router(config-sigdef-sig)#engine
router(config-sigdef-sig-engine)#event-action produce-alert
router(config-sigdef-sig-engine)#event-action deny-packet-inline
router(config-sigdef-sig-engine)#event-action reset-tcp-connection
router(config-sigdef-sig-engine)#exit
router(config-sigdef-sig)#exit
router(config-sigdef)#exit
Do you want to accept these changes? [confirm]y
router(config)#

يوضح هذا المثال كيفية تغيير إجراءات الحدث لجميع التوقيعات التي تنتمي إلى الفئة الأساسية ل IOS IPS.

router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z
router(config)#ip ips signature-category
router(config-ips-category)#category ios_ips basic
router(config-ips-category-action)#event-action produce-alert
router(config-ips-category-action)#event-action deny-packet-inline
router(config-ips-category-action)#event-action reset-tcp-connection
router(config-ips-category-action)#exit
router(config-ips-category)#exit
Do you want to accept these changes? [confirm]y
router(config)#

معلومات ذات صلة

• صفحة منتجات وخدمات نظام منع التسلل (IPS) IOS من Cisco
• Cisco IOS IPS - تنزيل برنامج توقيعات الإصدار 5
• دعم تنسيق توقيع IPS 5.x وتحسينات إمكانية الاستخدام
• تنزيل برنامج مدير أمان جهاز Cisco
• كيفية إستخدام CCP لتكوين IOS IPS
• تنزيل برنامج تشفير 3DES الخاص بعارض أحداث نظام اكتشاف الاقتحام من Cisco
• الدعم التقني والمستندات - Cisco Systems