IDS入侵檢測(cè)安裝調(diào)試培訓(xùn)

1、IDS安裝調(diào)試培訓(xùn)教材目錄入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺(tái)和探測(cè)器)聯(lián)想網(wǎng)御IDS的策略配置日志數(shù)據(jù)庫(kù)的維護(hù)規(guī)則庫(kù)升級(jí)目錄入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺(tái)和探測(cè)引擎)聯(lián)想網(wǎng)御IDS的策略配置日志數(shù)據(jù)庫(kù)的維護(hù)規(guī)則庫(kù)升級(jí)網(wǎng)御入侵檢測(cè)產(chǎn)品介紹結(jié)構(gòu) 基于C/S模式聯(lián)想網(wǎng)御新版IDS型號(hào)百兆標(biāo)準(zhǔn)型：N120百兆增強(qiáng)性：N820千兆標(biāo)準(zhǔn)型：N3200千兆增強(qiáng)型：N5200入侵檢測(cè)系統(tǒng)的部署（原則）理解網(wǎng)絡(luò)拓?fù)淅斫庑枨螅男┬畔⒘餍枰獧z測(cè)）得出可行的接入點(diǎn)和接入方式能否優(yōu)化優(yōu)先1 不改變現(xiàn)有拓?fù)鋬?yōu)先2 Sensor和Console間通信的可靠?jī)?yōu)先3 避免對(duì)冗余流量

2、的分析部署模式共享模式HUBIDS SensorMonitored ServersConsole監(jiān)聽口無IP管理口單獨(dú)部署部署模式交換模式SwitchIDS SensorMonitored ServersConsole通過端口鏡像實(shí)現(xiàn)（SPAN / Port Monitor）監(jiān)聽口無IP管理口單獨(dú)部署部署模式TAP模式SwitchIDS SensorMonitored Servers通過TAP設(shè)備ConsoleTAP無IP部署模式隱蔽模式（帶外管理）SwitchIDS SensorConsole無IP目錄入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺(tái)和探測(cè)器)聯(lián)想網(wǎng)御IDS的策略配置日

3、志數(shù)據(jù)庫(kù)的維護(hù)規(guī)則庫(kù)升級(jí)控制臺(tái)必須安裝在windows2000及以上平臺(tái)（盡量使用professional) 文件系統(tǒng)盡量使用NTFS格式 安裝最新的service pack 關(guān)閉不必要的服務(wù) 確保賬號(hào)的安全性產(chǎn)品安裝入侵檢測(cè)系統(tǒng)控制臺(tái)安裝把安裝盤放入光驅(qū)，自動(dòng)運(yùn)行安裝程序或手動(dòng)選擇執(zhí)行“網(wǎng)御IDS 控制臺(tái)安裝”程序setup.exe控制臺(tái)安裝步驟入侵檢測(cè)系統(tǒng)控制臺(tái)安裝仔細(xì)閱讀網(wǎng)御IDS使用協(xié)議，如果同意請(qǐng)選“是”，不同意則選“否”。控制臺(tái)安裝步驟入侵檢測(cè)系統(tǒng)控制臺(tái)安裝填寫用戶注冊(cè)信息。控制臺(tái)安裝步驟網(wǎng)御IDS 控制臺(tái)的默認(rèn)路徑為“C:Program FilesLenovo IDS”。假如更改

4、安裝路徑，則選擇“查找”指定安裝的路徑，按“確認(rèn)”按鈕。再按“下一步”。入侵檢測(cè)系統(tǒng)控制臺(tái)安裝控制臺(tái)安裝步驟網(wǎng)御IDS 控制臺(tái)的安裝過程需要導(dǎo)入認(rèn)證證書，用戶選擇相應(yīng)目錄下的任意一個(gè)證書即可。入侵檢測(cè)系統(tǒng)控制臺(tái)安裝控制臺(tái)安裝步驟網(wǎng)御IDS 控制臺(tái)的安裝過程需要導(dǎo)入認(rèn)證證書，用戶選擇相應(yīng)目錄下的Cacert.pem或izpl.pem任意一個(gè)證書即可。入侵檢測(cè)系統(tǒng)控制臺(tái)安裝控制臺(tái)安裝步驟入侵檢測(cè)系統(tǒng)控制臺(tái)安裝選定證書后，按“下一步”按鈕。進(jìn)入選擇服務(wù)的程序組名，缺省為網(wǎng)御IDS控制臺(tái)v3.2.8。控制臺(tái)安裝步驟入侵檢測(cè)系統(tǒng)控制臺(tái)安裝確認(rèn)安裝事項(xiàng)后，按“下一步”按鈕。開始復(fù)制文件?？刂婆_(tái)安裝步驟入侵

5、檢測(cè)系統(tǒng)控制臺(tái)安裝選擇默認(rèn)保存日志的路徑后繼續(xù)“下一步”?？刂婆_(tái)安裝步驟入侵檢測(cè)系統(tǒng)控制臺(tái)安裝安裝結(jié)束后出現(xiàn)如下“安裝結(jié)束”畫面，按“完成”按鈕，結(jié)束安裝?？刂婆_(tái)安裝步驟探測(cè)引擎設(shè)置使用隨機(jī)所附的串口線，將聯(lián)想網(wǎng)御IDS探測(cè)引擎的串口與一臺(tái)裝有超級(jí)終端的個(gè)人計(jì)算機(jī)的串口連接起來。設(shè)置超級(jí)終端直接連接到串口1，如下圖：探測(cè)引擎連接設(shè)置探測(cè)引擎設(shè)置設(shè)設(shè)置超級(jí)終端的波特率：38400；數(shù)據(jù)位：8；奇偶校驗(yàn)：無；停止位：1；流量控制：無，如下圖：探測(cè)器連接設(shè)置探測(cè)引擎設(shè)置按回車鍵，建立連接后（出現(xiàn)login: 提示符），輸入正確的賬號(hào)和密碼，就能夠登陸網(wǎng)御IDS探測(cè)引擎，進(jìn)入網(wǎng)御IDS探測(cè)引擎的設(shè)置模

6、式。網(wǎng)御IDS探測(cè)引擎出廠時(shí)，默認(rèn)的串口管理員賬號(hào)和密碼分別為：lenovo/default，下圖為登陸后的主界面探測(cè)引擎設(shè)置串口登陸后即進(jìn)入探測(cè)引擎配置主菜單探測(cè)引擎設(shè)置在主菜單內(nèi)選擇2系統(tǒng)管理,進(jìn)入系統(tǒng)管理界面探測(cè)引擎設(shè)置在系統(tǒng)管理界面輸入1網(wǎng)絡(luò)配置，進(jìn)入網(wǎng)絡(luò)配置界面探測(cè)引擎設(shè)置在網(wǎng)絡(luò)配置界面輸入1查看&編輯IP配置，進(jìn)入通訊端口IP地址配置界面探測(cè)引擎設(shè)置選擇1開始并完成通訊端口的IP地址配置控制臺(tái)設(shè)置首先以帳號(hào)：lenovo密碼：default的帳號(hào)口令登陸網(wǎng)御IDS的控制臺(tái)控制臺(tái)設(shè)置在菜單“資產(chǎn)”內(nèi)選擇引擎，并在客戶端資產(chǎn)管理引擎窗口 內(nèi)選擇“添加”控制臺(tái)設(shè)置在添加探測(cè)引擎的過程中需

7、要為探測(cè)引擎相應(yīng)的檢測(cè)策略控制臺(tái)設(shè)置點(diǎn)擊此處“確定”，完成探測(cè)引擎的添加工作控制臺(tái)設(shè)置點(diǎn)擊菜單“引擎”下的“策略”，進(jìn)入策略編輯界面。聯(lián)想網(wǎng)御IDS缺省帶有5個(gè)策略模板，可以通過策略模板派生出相應(yīng)策略供用戶編輯控制臺(tái)設(shè)置雙擊派生出策略或選擇要編輯的策略選擇“編輯”，進(jìn)入策略編輯注意：控制臺(tái)與探測(cè)器之間是C/S模式，通訊是每時(shí)都在進(jìn)行的，當(dāng)探測(cè)引擎在未與控制臺(tái)連接的狀態(tài)下長(zhǎng)時(shí)間單獨(dú)運(yùn)行時(shí)，會(huì)將報(bào)警日志緩存在探測(cè)引擎的本地硬盤上，當(dāng)控制臺(tái)再次連接上探測(cè)引擎后，探測(cè)引擎會(huì)自動(dòng)將報(bào)警日志上傳給控制臺(tái)，由于傳送和存儲(chǔ)日志會(huì)占用很多系統(tǒng)資源，在自動(dòng)傳送日志時(shí)，控制臺(tái)會(huì)出現(xiàn)運(yùn)行緩慢的現(xiàn)象，用戶需等待，具體時(shí)

8、間視控制臺(tái)配置和日志大小而定?？刂婆_(tái)后臺(tái)數(shù)據(jù)庫(kù)包含網(wǎng)絡(luò)私密信息，所以，最好讓控制臺(tái)專機(jī)專用，不要和其他系統(tǒng)安裝在一起。以免信息泄露。盡量只選擇并使用一個(gè)監(jiān)聽口，這樣可以最大發(fā)揮產(chǎn)品的性能，多監(jiān)聽口同時(shí)工作會(huì)降低產(chǎn)品。 目錄入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺(tái)和探測(cè)器)聯(lián)想網(wǎng)御IDS的策略配置日志數(shù)據(jù)庫(kù)的維護(hù)規(guī)則庫(kù)升級(jí)控制臺(tái)策略配置-內(nèi)網(wǎng)對(duì)象進(jìn)入策略編輯界面編輯用戶自定義策略首先需要根據(jù)用戶實(shí)際網(wǎng)絡(luò)編輯內(nèi)網(wǎng)對(duì)象?？刂婆_(tái)策略配置-內(nèi)網(wǎng)對(duì)象進(jìn)入策略-網(wǎng)絡(luò)編輯界面添加內(nèi)網(wǎng)對(duì)象，添加相應(yīng)的內(nèi)網(wǎng)名稱、網(wǎng)絡(luò)/IP范圍、選定“內(nèi)部IP”選項(xiàng)，只有選定了“內(nèi)部IP”所添加的內(nèi)網(wǎng)對(duì)象才能生效。注

9、意：內(nèi)網(wǎng)對(duì)象的定義影響部分功能的正常工作。建議用戶在部署、使用產(chǎn)品之前，要先定義好內(nèi)網(wǎng)對(duì)象。受內(nèi)網(wǎng)對(duì)象影響的功能有：網(wǎng)絡(luò)流量統(tǒng)計(jì)功能部分掃描攻擊檢測(cè)部分DoS攻擊檢測(cè)控制臺(tái)策略配置-響應(yīng)方式點(diǎn)擊快捷工具欄上“響應(yīng)”，進(jìn)入響應(yīng)編輯窗口。主界面提供了非聯(lián)動(dòng)的響應(yīng)方式列表。控制臺(tái)策略配置-響應(yīng)方式聯(lián)動(dòng)類響應(yīng)方式需添加，選擇“添加”按鈕后，選擇相應(yīng)類型中的相關(guān)響應(yīng)方式進(jìn)行配置即可?？刂婆_(tái)策略配置-響應(yīng)方式應(yīng)用響應(yīng)策略。在快捷工具欄中選擇“事件/策略”下的“策略”下的“添加”，用戶可按事件名、源地址、目的地址、風(fēng)險(xiǎn)級(jí)別、事件類型、服務(wù)、時(shí)間等因素組合定制響應(yīng)的響應(yīng)方式控制臺(tái)策略配置-策略下發(fā)編輯完策略后

10、，將被編輯的策略拖拽到需要應(yīng)用的探測(cè)引擎，系統(tǒng)會(huì)通知用戶“是要把策略應(yīng)用于引擎嗎”，選擇“是”系統(tǒng)即會(huì)自動(dòng)下并應(yīng)用這個(gè)策略。 目錄入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺(tái)和探測(cè)器)聯(lián)想網(wǎng)御IDS的策略配置日志數(shù)據(jù)庫(kù)的維護(hù)規(guī)則庫(kù)升級(jí)日志數(shù)據(jù)庫(kù)的維護(hù)在快捷工具欄中選擇資產(chǎn)-環(huán)境設(shè)置，在此可配置選擇使用ACCESS數(shù)據(jù)庫(kù)還是MS SQL SERVER數(shù)據(jù)庫(kù)。缺省安裝情況下使用ACCESS數(shù)據(jù)庫(kù)日志數(shù)據(jù)庫(kù)的維護(hù)日志備份設(shè)置資產(chǎn)-環(huán)境設(shè)置-備份策略設(shè)置，定義按用戶需要的日志備份計(jì)劃任務(wù)，定期執(zhí)行數(shù)據(jù)的備份工作。日志數(shù)據(jù)庫(kù)的維護(hù)日志同步在快捷菜單日志-日志同步，進(jìn)入日志同步窗口，日志同步功能是提供手動(dòng)的日志同步功能包括入侵日志和流量日志兩部分日志數(shù)據(jù)庫(kù)的維護(hù)日志刪除在快捷菜單日志-日志備份，進(jìn)入日志備份/恢復(fù)窗口，日志備份/恢復(fù)提供了對(duì)日志的手動(dòng)備份和恢復(fù)功能，日志數(shù)據(jù)庫(kù)的維護(hù)日志壓縮在