Cisco Cisco ASA 5555-X Adaptive Security Appliance Guide D’Installation Rapide

思科 ASA 系列防火墙 CLI 配置指南

第 19 章      ASA IPS 模块

  ASA IPS 模块的配置示例

ASA IPS 模块的配置示例

以下示例在混杂模式下将所有 IP 流量转移至 ASA IPS 模块，并在 ASA IPS 模块卡因任何原因出
现故障时阻止所有 IP 流量：

hostname(config)# access-list IPS permit ip any any

hostname(config)# class-map my-ips-class

hostname(config-cmap)# match access-list IPS

hostname(config-cmap)# policy-map my-ips-policy

hostname(config-pmap)# class my-ips-class

hostname(config-pmap-c)# ips promiscuous fail-close

hostname(config-pmap-c)# service-policy my-ips-policy global

以下示例在内联模式下将本该转入 10.1.1.0 网络和 10.2.1.0 网络的所有 IP 流量都转移至 AIP 
SSM，并在 AIP SSM 因任何原因出现故障的情况下允许所有流量通过。对于 my-ips-class 流量，
使用 sensor1 ；对于 my-ips-class2 流量，使用 sensor2。

hostname(config)# access-list my-ips-acl permit ip any 10.1.1.0 255.255.255.0

hostname(config)# access-list my-ips-acl2 permit ip any 10.2.1.0 255.255.255.0

hostname(config)# class-map my-ips-class

hostname(config-cmap)# match access-list my-ips-acl

hostname(config)# class-map my-ips-class2

hostname(config-cmap)# match access-list my-ips-acl2

hostname(config-cmap)# policy-map my-ips-policy

hostname(config-pmap)# class my-ips-class

hostname(config-pmap-c)# ips inline fail-open sensor sensor1

hostname(config-pmap)# class my-ips-class2

hostname(config-pmap-c)# ips inline fail-open sensor sensor2

hostname(config-pmap-c)# service-policy my-ips-policy interface outside

ASA IPS 模块的功能历史记录

 列出了各项功能变更以及实施了该变更的平台版本。

表

模块的功能历史记录

功能名称

平台版本

功能信息

AIP SSM

7.0(1)

我们为 ASA 5510、5520 和 5540 引入了对 AIP SSM 的
支持。

引入了以下命令：ips。

虚拟传感器（ASA 5510 及更高版本）

8.0(2)

引入了虚拟传感器支持。借助于虚拟传感器，可在 ASA 
IPS 模块上配置多个安全策略。

引入了以下命令：allocate-ips。

适用于 ASA 5505 的 AIP SSC

8.2(1)

我们为 ASA 5505 引入了对 AIP SSC 的支持。

引入了以下命令：allow-ssc-mgmt、hw-module module 
ip 和 hw-module module allow-ip。