Настроить работу сенсора таким образом, чтобы:
1)
R1#ping 10.2.2.1 repeat 100 source lo 1
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
!!!!.!!!!.!!!!.!!!!.!!!!.!!!!.!!!!.!!!!.!!!!.!!!! (Каждый 5-й блокируется)
2)
R1#ping 10.2.2.1 repeat 100 source lo 2
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.2.2.1, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.2
!!!!!!!!!.!!!!!!!!!.!!!!!!!!!.!!!!!!!!!.!!!!!!!!!. (Каждый 10-й блокируется)
3)
R1#ping 10.2.2.2 repeat 100 source lo 1
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.1
.................................................. (Все пакеты блокируются)
4)
R1#ping 10.2.2.2 repeat 100 source lo 2
Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 10.2.2.2, timeout is 2 seconds:
Packet sent with a source address of 10.1.1.2
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! (Все пакеты проходят, но возникают события в Event Store)
5)
Все остальные пакеты проходят, события на IPS возникать при этом не должны
P.S. В качестве сенсора может быть: IPS 42xx, ASA с модулем AIP SSM, IDSM2 на 65xx, маршрутизатор с модулем или просто с IOS IPS. Задачка может быть интересной для тех, кто разбирается (или хочет разобраться) в основных вопросах оптимизации работы IPS.
| Вложения: |
|
Комментарий к файлу: Схема задачи IPS.jpg [ 36.87 КБ | Просмотров: 13562 ] |