CISCO ASA5540对于BT,Edonkey,Emule的封锁实现方法(zt)

network

CISCO ASA5540对于BT,Edonkey,Emule的封锁实现方法(zt)
设备:ASA5540配AIP-SSM20模块.
要求:BT封锁
实现方法:
方法1.在IPS的signature中找到10030和10031号特征码.将检测端口号设置为0-65535(因为BT的端口不定,所以把检测的范围扩大到所有),将action设置为deny attacker inline.
方法2.将action设置为request block host.其它同上.

区别:
方法1.用BT的主机被IPS检测出来后再发数据包会被拒绝掉.此操作由IPS进行.
方法2.用BT的主机被IPS检测出来后被禁止掉.此操作由ASA执行.这样的话因为具体操作由ASA执行,就需要IPS到ASA的一个通讯过程.此过程可以用TELNET和SSH方法实现.做这些操作之前需要在IPS的block功能模块设置到ASA的登陆模板.
设备间实际操作为IPS发现BT主机,然后登陆到ASA上添加禁止此主机的ACL.

注意事项:
1.IPS模块工作模式为在线,而不是混杂.
2.禁止/拒绝主机时间长度可设置.在configuration->ips->event action rule->rule0 的最后一页设置.请注意时间单位不同.
3.被deny和block的主机可分别在monitoring->ips->deny host和active block host列表中查看到.

最后:以上方法可以扩展用来实现其他功能,例如在IPS模块中手动添加禁止主机.