實驗十三IDS設(shè)備部署與配置

1、實驗十三 IDS設(shè)備部署與配置【實驗名稱】 IDS設(shè)備部署與配置【計劃學(xué)時】2學(xué)時【實驗?zāi)康摹?. 熟悉IDS設(shè)備的部署方式2. 掌握設(shè)備的連接和簡單設(shè)置【基本原理】一、IDS的4種部署方式1 鏡像口監(jiān)聽鏡像口監(jiān)聽部署模式是最簡單方便的一種部署方式，不會影響原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種部署方式中，把NIDS設(shè)備連接到交換機鏡像口網(wǎng)絡(luò)后，只需對入侵檢測規(guī)則進行勾選啟動，無需對自帶的防火墻進行設(shè)置，無需另外安裝專門的服務(wù)器和客戶端管理軟件，用戶使用普通的Web瀏覽器即可實現(xiàn)對NIDS的管理（包括規(guī)則配置、日志查詢、統(tǒng)計分析等），大大降低了部署成本和安裝使用難度，增加了部署靈活性。部署方式如下圖所示：2

2、 NAT模式（可充當(dāng)防火墻）NAT模式是將藍盾NIDS設(shè)備作為防護型網(wǎng)關(guān)部署在網(wǎng)絡(luò)出口位置，適合于沒有防火墻等防護設(shè)備的網(wǎng)絡(luò)。在這種部署方式中，藍盾NIDS設(shè)備可同時作為防火墻設(shè)備、防DDoS攻擊網(wǎng)關(guān)使用，可有效利用內(nèi)置的防火墻進行有效入侵防御聯(lián)動。NAT部署采取串聯(lián)方式部署在主交換機前面，需要對網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進行改造，需要對藍盾NIDS設(shè)備的自帶防火墻進行規(guī)則設(shè)置及內(nèi)外線連接設(shè)置，以達到多重防御的效果。用戶通過Web瀏覽器可實現(xiàn)對NIDS的全面管理（包括規(guī)則配置、日志查詢、統(tǒng)計分析等）。部署方式如下圖所示：3 透明橋模式透明橋模式是將藍盾NIDS設(shè)備作為透明設(shè)備串接在網(wǎng)絡(luò)中。這樣既可以有效利用

3、到藍盾NIDS的各項功能，也可以不必改變原有網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。在這種部署方式中，藍盾NIDS設(shè)備可同時作為防火墻設(shè)備、防DDoS攻擊網(wǎng)關(guān)使用，可以利用內(nèi)置的防火墻進行有效入侵防御聯(lián)動。用戶通過Web瀏覽器可實現(xiàn)對NIDS的全面管理（包括規(guī)則配置、日志查詢、統(tǒng)計分析等）。通常可以透明方式部署在DMZ區(qū)域，可將NIDS作為第二道防護網(wǎng)保護服務(wù)組群。部署方式如下圖所示：4 混合模式混合模式是應(yīng)用以上三種模式的任意組合將藍盾NIDS設(shè)備部署在較復(fù)雜網(wǎng)絡(luò)。例如，可以通過一個網(wǎng)口監(jiān)聽某個工作區(qū)域子網(wǎng)，通過一對網(wǎng)口透明部署在DMZ區(qū)域，一對網(wǎng)口作為NAT防火墻保護另一個重點工作區(qū)域，同時對多個網(wǎng)絡(luò)區(qū)域進行保護。

4、用戶通過Web瀏覽器可實現(xiàn)對NIDS的全面管理（包括規(guī)則配置、日志查詢、統(tǒng)計分析等）。部署方式如下圖所示：二 連接及設(shè)置1 連接設(shè)備下圖以鏡像口監(jiān)聽模式為例，顯示如何連接藍盾NIDS設(shè)備。2 網(wǎng)口出廠配置藍盾NIDS設(shè)備提供的以太網(wǎng)接口主要有兩種類型：管理口和業(yè)務(wù)口。管理口的以太網(wǎng)接口有IP地址（出廠設(shè)置為45），供設(shè)備管理流量和其它告警上報流量通過。連接到設(shè)備管理口的所有管理終端計算機組成的網(wǎng)絡(luò)稱為“管理網(wǎng)絡(luò)”。用戶通過管理網(wǎng)絡(luò)內(nèi)的終端計算機可以訪問設(shè)備管理口，對系統(tǒng)進行管理和配置。業(yè)務(wù)口可配置為鏡像口監(jiān)聽模式、透明橋模式、網(wǎng)關(guān)NAT模式或者混雜模式。業(yè)務(wù)口主要用于捕獲

5、網(wǎng)絡(luò)協(xié)議報文進行檢測分析，是入侵檢測系統(tǒng)“業(yè)務(wù)”的來源。3各網(wǎng)口的出廠設(shè)置如下：網(wǎng)口編號出廠配置IP地址備注LAN1(E1)管理網(wǎng)口45電口LAN2(E2)業(yè)務(wù)口（監(jiān)聽模式）無電口，可配置為NAT、透明橋模式LAN3(E3)業(yè)務(wù)口（監(jiān)聽模式）無電口，可配置為NAT、透明橋模式LAN4(E4)業(yè)務(wù)口（監(jiān)聽模式）無電口，可配置為NAT、透明橋模式除了默認(rèn)管理LAN1網(wǎng)口外，其余網(wǎng)口的設(shè)置均可在界面進行重新配置。例如，用戶可以將LAN3、LAN4網(wǎng)口配置為透明橋。4 登錄管理界面從管理PC登錄藍盾NIDS設(shè)備Web管理界面前，需要確認(rèn)管理PC的IP地址與設(shè)備缺省管理口IP地址設(shè)

6、置在同一網(wǎng)段：/24。透過網(wǎng)線或獨立交換機（非業(yè)務(wù)交換機）將管理PC連接到LAN1口，打開IE瀏覽器，在IE地址欄輸入45 ,便可登錄到藍盾NIDS設(shè)備的web管理界面。初始用戶名為“admin”，密碼為“888888”。登錄后出現(xiàn)主界面如圖所示：注意：藍盾NIDS設(shè)備前面板上標(biāo)志為LAN1的以太網(wǎng)口為系統(tǒng)缺省管理口，缺省IP地址45。如此默認(rèn)IP地址與用戶網(wǎng)絡(luò)IP地址無沖突，建議用戶使用此默認(rèn)IP地址。如果確實有需要更改管理口IP地址，則在下次啟動時需要使用更改后的IP地址登錄?；谙到y(tǒng)安全考慮，管理系統(tǒng)同一時間

7、內(nèi)只允許1個同名的用戶登錄。用戶可設(shè)置多個用戶帳號，為不同用戶分配不同操作權(quán)限進行管理5、網(wǎng)絡(luò)配置前的準(zhǔn)備出廠配置已經(jīng)有定義好的管理口、監(jiān)聽口。建議盡量使用出廠配置模式。如果出廠配置不滿足實際網(wǎng)絡(luò)需求，才進行合理調(diào)整。網(wǎng)絡(luò)配置前，請先確定網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和連接方式(旁路、透明、NAT、混合)，并定義好使用的網(wǎng)口，以免配置過程中造成混亂。如需要添加橋或NAT的外線接口，首先需要刪除默認(rèn)選項的監(jiān)聽網(wǎng)口。例如，刪除LAN3、LAN4鏡像口，釋放網(wǎng)口LAN3、LAN4。否則在透明橋接口或者NAT網(wǎng)口選項中沒有網(wǎng)口可供使用?！緦嶒炌?fù)洹恳早R像口監(jiān)聽的部署方式來進行實驗配置?！緦嶒灢襟E】一、 IDS的初始配

8、置。1、 “網(wǎng)絡(luò)設(shè)置”à“網(wǎng)口配置”à“網(wǎng)口”，將E2的LAN2的IP配置為27，點擊保存，然后重啟網(wǎng)絡(luò)。（將LAN2口做為管理口，用于管理設(shè)備）2、“系統(tǒng)”à“系統(tǒng)工具”à“IP工具”，直接ping 網(wǎng)關(guān)54檢驗與內(nèi)網(wǎng)的連通性。3、“系統(tǒng)”à“管理設(shè)置”à“管理界面訪問設(shè)定”，網(wǎng)口選擇LAN2，其余選項缺省，點擊添加。參數(shù)定義：網(wǎng)口：wan設(shè)定、admin等端口源IP或網(wǎng)絡(luò)：某個固定IP地址或者網(wǎng)段是否能訪問這些協(xié)議和網(wǎng)段。備注：描述該規(guī)則用處。注意：此項規(guī)則用于是否允許某個IP或

9、者網(wǎng)段登錄到管理界面4、“現(xiàn)有規(guī)則”中新增一條通過LAN2訪問IDS界面的策略。5、“系統(tǒng)”à“管理設(shè)置”à“密碼”，按下圖配置管理員用戶，不啟用USBKEY。 下面就出現(xiàn)了一個超級管理員用戶6、可以增加低權(quán)限的用戶，即是只允許瀏覽IDS，不允許進行操作，如下圖所示：下面就出現(xiàn)了一個新用戶king，只有“查看日志”“實時報表”的權(quán)限7、“系統(tǒng)”à“管理設(shè)置”à“用戶安全設(shè)置”，以下配置是一種相對安全的配置方法。參數(shù)定義：登陸超時時間設(shè)置(秒)：就是超過這個時間將會鎖定登陸失敗限制次數(shù)：就是登陸超過限制次數(shù)，將會將用戶鎖定用戶鎖定時間(分)：將用戶鎖定多長時間，等過了這個時間后才可以重新登陸密碼最小長度：當(dāng)密碼長度不夠時將不能建此用戶開啟密碼強度限制(強制為數(shù)字與字符組合)：輸入密碼時一定要提高密碼的強度要數(shù)字+字符以下為驗證的結(jié)果：當(dāng)密碼長度不夠時將出現(xiàn)提示，不能建立新用戶。 輸入密碼時一定要提高密碼的強度，需要數(shù)字+字符。登陸超過限制次數(shù)，系統(tǒng)會將用戶鎖定，1分鐘后用戶才能重新登陸。8、 “網(wǎng)絡(luò)設(shè)置”&