Добавление хоста в Cisco IPS Никогда черный список
Мы используем Cisco ASA 5510 с модулем IPS.
У нас есть внутренний сервер, который выполняет большое количество сканирований обнаружения SNMP и блокируется и отключается IPS.
Поскольку я контролирую этот сервер, и это ожидаемое поведение, я хотел бы добавить исключение в IPS, чтобы предотвратить блокировку этого сервера.
Я нашел следующее в экспресс-инструменте Cisco IPS manager:
Конфигурация> имя_сенсора> Управление датчиками> Блокировка> Свойства блокировки и нажмите кнопку Добавить, чтобы добавить хост или сеть в список адресов, которые никогда не будут блокироваться.
Тем не менее, даже после того, как я добавляю IP-адрес сервера, он все еще блокируется.
Есть ли еще одна область, где я должен добавить этот сервер?
2 ответа
Какие системные журналы из 5510 говорят вам. Единственный раз, когда ASA фактически блокирует любые ips, это если модуль IPS выдает на ASA сторонку для этого конкретного IP-адреса. Вы избегаете? Совпадают ли IP-адреса между "Никогда не блокировать адреса" и IP-адрес сервера?
В противном случае вы находитесь в нужном месте в IME.
Вы можете добавить правило фильтрации для вашего сервера сканирования.
http://www.cisco.com/en/US/docs/security/ips/6.1/configuration/guide/idm/idm_event_action_rules.html