Мы запускаем Cisco ASA 5510 с модулем IPS.
У нас есть внутренний сервер, который выполняет множество проверок обнаружения SNMP и блокируется и отключается системой IPS.
Поскольку я контролирую этот сервер, и это ожидаемое поведение, я хотел бы добавить исключение в IPS, чтобы предотвратить блокировку этого сервера.
В инструменте Cisco IPS manager Express я обнаружил следующее:
Конфигурация> имя_сенсора> Управление сенсором> Блокировка> Свойства блокировки и нажмите Добавить, чтобы добавить узел или сеть в список адресов, которые никогда не должны блокироваться.
Однако даже после того, как я добавлю сюда IP-адрес серверов, он все еще заблокирован.
Есть ли еще одна область, в которой я тоже должен добавить этот сервер?
Вы можете добавить правило фильтрации для своего сервера сканирования.
Что вам говорят системные журналы 5510. Единственный раз, когда ASA фактически блокирует любые IP-адреса, - это если модуль IPS выдает избегание на ASA для этого конкретного IP-адреса. Вас избегают? Совпадают ли IP-адреса между «Никогда не блокировать адреса» и IP-адресом сервера?
В противном случае вы находитесь в нужном месте в IME.