入侵检测和防护的部署
基于网络的入侵防护系统,NIPS,应该部署在内网的出口处,也就是边界路由器和核心交换机之间,这样可以保护整个网络。
网络入侵检测系统常用部署方法:
- 网卡与交换设备的监控端口连接,通过交换设备的span/mirror功能将被镜像的端口的数据包复制一份给监控端口。
- 增加一台集线器改变拓扑结构,然后将入侵检测系统通过集线器介入系统,利用集线器的共享式监听获取数据包
- 加一个TAP(分路器),带宽更高,断电不会影响正常通信,有更好的稳定性。
应用访问控制列表的方法:
int <port-num>
ip access-group <list-num> out这里的out和in是在应用到的端口的角度看是进还是出。
如果要监听两个路由器之间的所有流量,可以在链路中串入一种设备: TAP(分路器)。
ACL(访问控制列表)相关:
access-list 130 deny udp any any eq 1434
access-list 130 permit ip any any所有基于udp的1434端口的报文都不许访问某网络,应用上述的130的ACL,所以:
int E1
ip access-group 130 out首先进入要设置的借口,然后在此路由器的角度来看是in还是out。
2018年03月23日18:39:29