config block
nac:blocking应用程序
device management:sensor管理其他设备的能力
blocking device:被管理的设备
blcoking sensor:发起管理的ips
managed interface or vlan:管理的接口,在那个接口管理
active alc or vacl:vlan acl
1.有一个能够通讯的ip
2.允许telnet和ssh
3.有加密用的授权
交换机设置抓包
switch(config)#monitor session 1 source vlan 3 rx
switch(config)#monitor session 1 destination interface f0/12 ingress vlan 3(允许sensor口向vlan3发送reset包,不允许reset行为没有办法正常工作,如果监控多个vlan启用封装跟vlan就没有意义)
配置clock需要注意的地方
1.使用防止地址欺骗的技术
2.定义需要在blocking中被排除的主机
3.定义要参与blocking的网络入口点
4.为特定的sig配置block响应策略
5.决定适当的block时间
并不是所有的sig都适合使用blocking这个技术
block两种actions
1.request block host
request block connection
如果多个连接被block,他们都是相同的源地址,不同的目的地址和端口,这个blocking connection会自动转换成block host.
1.打开一个sig的block策略
2.配置sensor的全局block属性
3.创建设备登陆策略,sensor用这个用户名和密码登陆到block设备.
4.定义block设备的属性
5.定义管理接口
6.(可选)定义主block设备
blocking和cbac不兼容
运用在外部接口肯定会好一些,因为他能够对router进行防护。
pre-block acl
post-block acl
默认写blocking
permit ip host 202.100.12.101(ips设备地址)
deny ip host x.x.x.x host y.y.y.y(当触发某条sig在中间加)
permit ip any nay
ips在asa上面不是写acl而是写shun
shun 1.1.1.1(过滤1.1.1.1)在blocking forwarding端
制定master blocking sensor
如果tis激活,需要添加master
blocking sensor到自己的tls信任主机列表里边
在master blocking sensor上边,需要添加所有blocking forwarding sensors到允许主机列表里边
标签:10,Configuring,vlan,blocking,host,acl,sensor,Blocking,block From: https://www.cnblogs.com/smoke520/p/18357871