IDS入侵检测安装调试培训.ppt

IDS安装调试培训教材 目录 入侵检测系统在网络中的部署 联想网御IDS的安装 控制台和探测器 联想网御IDS的策略配置 日志数据库的维护 规则库升级 目录 入侵检测系统在网络中的部署 联想网御IDS的安装 控制台和探测引擎 联想网御IDS的策略配置 日志数据库的维护 规则库升级 网御入侵检测产品介绍 结构基于C S模式联想网御新版IDS型号百兆标准型 N120百兆增强性 N820千兆标准型 N3200千兆增强型 N5200 入侵检测系统的部署 原则 理解网络拓扑理解需求 哪些信息流需要检测 得出可行的接入点和接入方式能否优化优先1不改变现有拓扑优先2Sensor和Console间通信的可靠优先3避免对冗余流量的分析 部署模式 共享模式 HUB IDSSensor MonitoredServers Console 监听口无IP管理口单独部署 部署模式 交换模式 Switch IDSSensor MonitoredServers Console 通过端口镜像实现 SPAN PortMonitor 监听口无IP管理口单独部署 部署模式 TAP模式 Switch IDSSensor MonitoredServers 通过TAP设备 TAP 无IP 部署模式 隐蔽模式 带外管理 Switch IDSSensor 无IP 目录 入侵检测系统在网络中的部署 联想网御IDS的安装 控制台和探测器 联想网御IDS的策略配置 日志数据库的维护 规则库升级 控制台必须安装在windows2000及以上平台 尽量使用professional 文件系统尽量使用NTFS格式安装最新的servicepack关闭不必要的服务确保账号的安全性 产品安装 入侵检测系统控制台安装 把安装盘放入光驱 自动运行安装程序或手动选择执行 网御IDS控制台安装 程序setup exe 控制台安装步骤 入侵检测系统控制台安装 仔细阅读网御IDS使用协议 如果同意请选 是 不同意则选 否 控制台安装步骤 入侵检测系统控制台安装 填写用户注册信息 控制台安装步骤 网御IDS控制台的默认路径为 C ProgramFiles Lenovo IDS 假如更改安装路径 则选择 查找 指定安装的路径 按 确认 按钮 再按 下一步 入侵检测系统控制台安装 控制台安装步骤 网御IDS控制台的安装过程需要导入认证证书 用户选择相应目录下的任意一个证书即可 入侵检测系统控制台安装 控制台安装步骤 网御IDS控制台的安装过程需要导入认证证书 用户选择相应目录下的Cacert pem或izpl pem任意一个证书即可 入侵检测系统控制台安装 控制台安装步骤 入侵检测系统控制台安装 选定证书后 按 下一步 按钮 进入选择服务的程序组名 缺省为网御IDS控制台v3 2 8 控制台安装步骤 入侵检测系统控制台安装 确认安装事项后 按 下一步 按钮 开始复制文件 控制台安装步骤 入侵检测系统控制台安装 选择默认保存日志的路径后继续 下一步 控制台安装步骤 入侵检测系统控制台安装 安装结束后出现如下 安装结束 画面 按 完成 按钮 结束安装 控制台安装步骤 探测引擎设置 使用随机所附的串口线 将联想网御IDS探测引擎的串口与一台装有超级终端的个人计算机的串口连接起来 设置超级终端直接连接到串口1 如下图 探测引擎连接设置 探测引擎设置 设设置超级终端的波特率 38400 数据位 8 奇偶校验 无 停止位 1 流量控制 无 如下图 探测器连接设置 探测引擎设置 按回车键 建立连接后 出现login 提示符 输入正确的账号和密码 就能够登陆网御IDS探测引擎 进入网御IDS探测引擎的设置模式 网御IDS探测引擎出厂时 默认的串口管理员账号和密码分别为 lenovo default 下图为登陆后的主界面 探测引擎设置 串口登陆后即进入探测引擎配置主菜单 探测引擎设置 在主菜单内选择2系统管理 进入系统管理界面 探测引擎设置 在系统管理界面输入1网络配置 进入网络配置界面 探测引擎设置 在网络配置界面输入1查看 编辑IP配置 进入通讯端口IP地址配置界面 探测引擎设置 选择1开始并完成通讯端口的IP地址配置 控制台设置 首先以帐号 lenovo密码 default的帐号口令登陆网御IDS的控制台 控制台设置 在菜单 资产 内选择引擎 并在客户端资产管理 引擎窗口内选择 添加 控制台设置 在添加探测引擎的过程中需要为探测引擎相应的检测策略 控制台设置 点击此处 确定 完成探测引擎的添加工作 控制台设置 点击菜单 引擎 下的 策略 进入策略编辑界面 联想网御IDS缺省带有5个策略模板 可以通过策略模板派生出相应策略供用户编辑 控制台设置 双击派生出策略或选择要编辑的策略选择 编辑 进入策略编辑 注意 控制台与探测器之间是C S模式 通讯是每时都在进行的 当探测引擎在未与控制台连接的状态下长时间单独运行时 会将报警日志缓存在探测引擎的本地硬盘上 当控制台再次连接上探测引擎后 探测引擎会自动将报警日志上传给控制台 由于传送和存储日志会占用很多系统资源 在自动传送日志时 控制台会出现运行缓慢的现象 用户需等待 具体时间视控制台配置和日志大小而定 控制台后台数据库包含网络私密信息 所以 最好让控制台专机专用 不要和其他系统安装在一起 以免信息泄露 尽量只选择并使用一个监听口 这样可以最大发挥产品的性能 多监听口同时工作会降低产品 目录 入侵检测系统在网络中的部署 联想网御IDS的安装 控制台和探测器 联想网御IDS的策略配置 日志数据库的维护 规则库升级 控制台策略配置 内网对象 进入策略编辑界面编辑用户自定义策略首先需要根据用户实际网络编辑内网对象 控制台策略配置 内网对象 进入策略 网络编辑界面添加内网对象 添加相应的内网名称 网络 IP范围 选定 内部IP 选项 只有选定了 内部IP 所添加的内网对象才能生效 注意 内网对象的定义影响部分功能的正常工作 建议用户在部署 使用产品之前 要先定义好内网对象 受内网对象影响的功能有 网络流量统计功能部分扫描攻击检测部分DoS攻击检测 控制台策略配置 响应方式 点击快捷工具栏上 响应 进入响应编辑窗口 主界面提供了非联动的响应方式列表 控制台策略配置 响应方式 联动类响应方式需添加 选择 添加 按钮后 选择相应类型中的相关响应方式进行配置即可 控制台策略配置 响应方式 应用响应策略 在快捷工具栏中选择 事件 策略 下的 策略 下的 添加 用户可按事件名 源地址 目的地址 风险级别 事件类型 服务 时间等因素组合定制响应的响应方式 控制台策略配置 策略下发 编辑完策略后 将被编辑的策略拖拽到需要应用的探测引擎 系统会通知用户 是要把策略应用于引擎吗 选择 是 系统即会自动下并应用这个策略 目录 入侵检测系统在网络中的部署 联想网御IDS的安装 控制台和探测器 联想网御IDS的策略配置 日志数据库的维护 规则库升级 日志数据库的维护 在快捷工具栏中选择资产 环境设置 在此可配置选择使用ACCESS数据库还是MSSQLSERVER数据库 缺省安装情况下使用ACCESS数据库 日志数据库的维护日志备份设置 资产 环境设置 备份策略设置 定义按用户需要的日志备份计划任务 定期执行数据的备份工作 日志数据库的维护日志同步 在快捷菜单日志 日志同步 进入日志同步窗口 日志同步功能是提供手动的日志同步功能包括入侵日志和流量日志两部分 日志数据库的维护日志删除 在快捷菜单日志 日志备份 进入日志备份 恢复窗口 日志备份 恢复提供了对日志的手动备份和恢复功能 日志数据库的维护日志压缩 在快捷菜单日志 日志压缩 针对ACCESS数据库 我们提供了数据压缩功能 目录 入侵检测系统在网络中的部署 联想网御IDS的安装 控制台和探测器 联想网御IDS的策略配置 日志数据库的维护 规则库升级 规则库升级 工具 规则库升级 有离线和在线两种 规则库升级 在引擎 在线升级 设置中提供了升级提示功能 用户可根据需要设置定期提醒功能 谢谢