Cấu hình IPS và Security Intelligence trên Cisco Firewall Threat Defense

Trong bài viết này sẽ hướng dẫn các bạn thiết lập IPS và Security Intelligence trên thiết bị Cisco Secure Firewall Threat Defense, thông qua Device Manager.

- Đi đến Device -> View Configuration tại Smart License, chọn Enable Threat, để có thể sử dụng tính năng IPS.

​

- Đi đến Policies trên menu chính, tại Access Control, chọn rule cần áp dụng IPS, chỉ có các rule Allow mới có thể áp dụng IPS, trong ví dụ này sẽ bật IPS trên rule Inside ra Outside.

- Chọn tab Intrusion Policy, chọn bật Intrusion Policy, sau đó chọn mức policy mà bạn mong muốn.

- Trong ví dụ này ta chọn "Balanced Security and Connectivity" vì nó cân bằng giữa khả năng chống xâm nhập và kết nối. Ngoài ra còn có "Security over Connectivity policy" hoặc "The Maximum Detection" cung cấp khả năng chống xâm nhập tốt hơn nhưng sẽ có hạn chế về kết nối. Chọn Ok để lưu lại.
​

​

- Security Intelligence cho phép chặn các kết nối với máy chủ hoặc trang web được xác định là mối đe dọa, để sử dụng Security Intelligence đi đến Device -> View Configuration -> Updates, tại Security Intelligence Feeds chọn Update để cập nhật dữ liệu mới về thiết bị, mặc định sẽ tự động cập nhật sau mỗi 60 phút .

- Khi hoàn tất việc cập nhật đi đến Policies -> Security Intelligence, chọn enable Security Intelligence.

- Tại tab Network mục Block, chọn + và chọn tất cả danh mục -> Ok, tương tự qua tab URL và làm tương tự, đây là danh sách máy chủ hoặc trang web được xác định là mối đe dọa được cập nhật tự động từ Cisco Talos.

​

- Cuối cùng chọn Deploy -> Deploy Now để áp dụng cấu hình.

!!! Cám ơn các bạn đã theo dõi bài viết !!!​

 

Trong nội dung hôm nay sẽ hướng dẫn các bạn thiết lập tính năng IPS trên Firewall Cisco sử dụng Firewall Management Center.

- Trên giao diện FMC, đi đến Policies -> Intrusion, chọn “Create Policy” để tạo mới policy. Khi tạo policy mới, có hai tùy chọn Detection hoặc Prevention mode, ở chế độ Detection, chỉ nhận cảnh báo, không chặn kết nối. Ngoài ra ta cần chọn Base Policy cho policy mới này.

​

- Sau khi tạo Policy, ta có thể chọn Snort Version 3 để thay đổi base rule theo nhu cầu.

​

- Tại mục Base Policy, cho phép xem các danh mục và các rule được thiết lập của Base Policy.

​

- Tại mục Group Overrides, hiển thị tất cả các danh mục rule của IPS, chọn Exclude để loại bỏ danh mục khỏi Policy hoặc Include để thêm danh mục vào Policy.

​

- Khi chọn Include sẽ có yêu cần chọn Security Level, từ 1 -> 4, mức Security Level càng cao thì số rule Block càng nhiều.

​

- Tại mục Rule Overrides, cho phép điều chỉnh thiết lập cho từng rule trong mỗi danh mục. Ngoài ra còn có tùy chọn thay đổi Security Level và Include danh mục.

​

- Tại mục Summary, tổng hợp các thay đổi đã tạo ở các bước trên.

​

- Để sử dụng IPS policy, đi đến Policy -> Access Controll, chọn edit rule và tại mục Intrusion Policy chọn policy đã tạo.

​

- Cuối cùng chọn Deploy để áp dụng cấu hình.

!!!! Cảm ơn các bạn đã theo dõi bài viết !!!!​