认识思科IPS4200系列传感器

思科的***检测系统（IDS）是防火墙的补充解决方案，可以防止网络基础设施（路由器、交换机和网络带宽）和服务器（操作系统和应用层）受到拒绝服务（DoS） 袭击。由于问题比较复杂，先进的IPS解决方案一般都包含两个组件：用于保护网络的IDS（NIDS）和用于保护服务器及其上运行的应用的主机IDS （HIDS）。

可能产生的疑问：为什么思科的***检测传感器，有人管它叫IDS，也有人管它叫IPS ?

事实上，思科的***检测系统(IDS)和***防御系统(IPS)只是一种版本定义的差别，并不是从真正的安全行为上来定义思科的***检测系统(IDS)只能做检测，不能防御。比如基于IOS的***检测系统，在IOS版本为12.3及之前的版本都叫做IDS，而IOS１2.4后将***检测系统叫做IPS；然后对于专业的硬件传感器在4.0版本之前叫做IDS，在5.0版本后叫做IPS，也就是版本的差别，当然功能也在逐步完善，通常，从该项目开始我们将思科的传感器统称为IPS。

关于思科***防御系统的产品线

Cisco IPS 4200系列设备包括五种产品如下图4.1所示：CiscoIPS 4215、IPS 4240、IPS 4240-DC、IPS 4255和IPS 4260传感器。该产品线提供了丰富的解决方案，能方便地集成于多种环境，包括大型企业和电信运营商环境等。每种传感器都能以从每秒65Mbps到千兆传输间的一种速度，满足带宽要求。如下图4.2所示为思科4240的IPS传感器的正反面板图。

除了上面的描述其它思科IPS集成解决方案包括用于Catalyst 6500 交换机的***检

测系统模块(IDSM-2)，以及用于思科接入路由器的IDS 网络模块(NM-CIDS)。如下图4.3为Catalyst 6500 交换机的***检测系统模块(IDSM-2)

认识思科***保护系统(IPS)网络传感器

Cisco IPS 4200 系列传感器是思科自防御网络的一个关键组件,也在我们整本书学习的重要设备。在繁忙的网络环境中，为实现业务的连续性，需具备高效的网络***安全特性，且能在恶意***蠕虫和病毒影响您的数据和资源前终止它们的运行。思科IPS 传感器采用了IPS v6.0 软件(现在已经升级到7.0)，能凭借内部防御功能，准确地检测、分类和终止恶意流量。思科的专门用途IPS 设备系列包括Cisco IPS4200 系列设备和Cisco Catalyst 6500 系列交换模块。

思科接入路由器的***防御系统(IPS)模块为传统检测添加了增强功能。此外，还为思科路由器提供了一个Cisco IOS®软件解决方案，即一组重点的***防御功能。为进行设备配置和事件浏览，思科解决方案包括了提供单一设备管理和事件监控的IPS 设备管理器，以及进行多设备、多事件类型关联的CiscoWorks ***/安全管理解决方案(VMS)。

它适合的场所与关键特性

ü一个分布式的***防御系统，能在本地、地区和总部控制台间发送和转发报警

ü一个可扩展的架构，能部署大量传感器，以便在大型网络环境中提供全面的安全特性覆盖范围。

ü在整个网络中部署思科网络IPS 设备(CiscoIPS 4200 系列设备)，使用支持多个接口的单一设备，监控多个子网。

ü思科IPS交换模块(IDSM2)使客户能在同一机箱内执行安全监控和交换功能。

ü思科IPS网络模块将全部***防御功能集成到思科接入路由器中。

ü广泛的性能范围，至少45 Mbps

ü灵活的IPS 签名定制选项

ü广泛的管理和监控选项，能适用于任何环境

ü强大的每周7天、每天24小时的监控和响应系统，具有最新的***检测功能

认识思科***防御系统的镜像文件

首先需要知道一台专业的网络设备，无论是思科、华为、或者别的生产商的产品，根据嵌入式设备的工作原理，它们由两个层面的构件组成。一是专业的硬件载体，另外一个则是体现各大厂商核心技术的镜像系统。它提供配置与实现网络设备各种功能的接口，它是网络设备真正的灵魂，它也是思科***防御系统的操作系统。更直观的理解，IPS的镜像文件就是思科IPS传感器的操作系统，它基于Linux平台开发。所以当启动思科的传感器时，感觉像是在启动Linux系统。