为信任主机配置对话框,它的应用意义产生在很多IPS设备与其它设备比如路由器、交换机、防火墙联动防御时,通过一个非常典型的环境来说明这个问题,如下图所示,在这个环境中,***防御系统IPS1和IPS2都发生的安全违规事件,此时它们都认为需要联动防火墙上去做安全配置,比如写ACL或者做其它的安全加固,但是,如果IPS1和IPS2同时向防火墙写入安全配置,这是一件不科学的事情,因为同时操作,可能会有冲突或者将后一步的配置将原有的配置覆盖,思科的解决方案是,此时在这个种环境中选出一台IPS作为主控(master)IPS,配置只能让主控IPS写入,比如将IPS1作为主控IPS,如果IPS2也需要向防火墙作配置,那么IPS2将配置申请交给IPS1,由IPS1负责将其配置完成,但是主控IPS1并不是任何的申请都可以接受,它只接受它信任的主机,那么谁是主控IPS信任的主机,这将由的配置所决定。在这个配置中将会把信任主机的IP地址和它的证书相关联,IP外填写信任主机的IP地址,在Port处填写443,该IPS会自动获取信任主机的证书(事实上就是信任主机的公钥)。
所示,它用来向IPS管控台(通常是使用IDM配置设备的管理主机)证明自己的身份,一般将其保持默认不变,但是如果你改变了时间,建议您通过点击如Generatecertificate来重新产生一张自签名的证书,因为时间和证书的有效性有相当重要的关联,否则当连接IPS时可能提示证书有效期已过,证书失效等。
的public Modulus里面,私钥由客户主机自己保存,那么此时的IPS就具备了客户端的公钥,当客户端SSH时就可以将它的公钥提交给IPS,IPS会将客户端提交的公钥与public Modulus里面的公钥作对比,完成对客户端的验证。ID指示公钥的ID,它的取值范围是1-256字符串;modulusLength指示公钥的长度,它的取值是512-2048;PublicExponent指示公钥的指数,事实上它是一个整数,有效的取值范围是
配置了
所示
