啟明星辰入侵檢測設備配置文檔

1、啟明星辰入侵檢測設備配置說明系統(tǒng)集成室啟 明 星 辰入侵檢測設備配置說 明天闐 NT60O-TC-BRP第1章設備概述與工作流程介紹1.1設備概述入侵檢測設備是一個典型的"窺探設備"。它不跨接多個物理網段（通常只有一個監(jiān)聽端口）， 無須轉發(fā)任何流量，而只需要在網絡上被動的、無聲息的收集它所關心的報文即可。對收集來的報 文，入侵檢測設備提取相應的流量統(tǒng)計特征值，并利用內置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據預設的閥值，匹配耦合度較高的報文流量將被認為是進攻，入侵檢測系統(tǒng)將根據相應的配置進行報警或進行有限度的反擊。不同于防火墻，IDS入侵檢測設備是一個監(jiān)聽設備

2、， 沒有跨接在任何鏈路上，無須網絡流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。典型拓撲：1.2 IDS工作流程介紹入侵檢測系統(tǒng)的工作流程大致分為以下幾個步驟：1信息收集入侵檢測的第一步是信息收集，內容包括網絡流量的內容、用戶連接活動的狀態(tài) 和行為。2信號分析 對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統(tǒng)計分析和 完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。具體的技術形式如下所述：1）.模式匹配，模式匹配就是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數據庫進行比 較，從而發(fā)現違背安全

3、策略的行為。2）.統(tǒng)計分析，分析方法首先給信息對象（如用戶、連接、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發(fā)生。3）.完整性分析，完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發(fā)現被更改的、被特絡伊化的應用程序方面特別有效。 完整性分析利用強有力的加密機 制，稱為消息摘要函數（例如 MD5 ），能識別及其微小的變化。第2章啟明星辰入侵檢測 設備的安裝介紹2.1產品外觀從左到右分別是：管理口， USB 口，1-5

4、業(yè)務口2.2安裝與配置步驟產品安裝與部署步驟包括：控制中心安裝和引擎安裝部署?？刂浦行男枰惭b在一臺PC 上,即需要為IDS入侵檢測設備配置一臺專門的工作站。這里提到的引擎就是指入侵檢測設備。2.2.1控制中心的安裝步驟1） 準備一臺工作站，安裝上win server操作系統(tǒng)，可以是 Windows Server 2008 R2 Standard64位或者是 Windows Server 2012 R2 standard 64位，（現場測試時，Win7 64位操作系統(tǒng)不能通過HTTP方式配置引擎）；2） SQL server數據庫安裝：在隨機附帶的安裝光盤中有SQL server數據庫安裝包，

5、具體步驟如下:雙擊“ SQLServer 2008 Express.exe ， 等待一會，進入SQL Server 安 裝中心界面： 點擊“安裝”， 選擇“全新SQLServer獨立安裝或向現有安裝添加功能” 一項:點擊“確定”進入產品密鑰界面: 啟明星辰入侵檢測設備配置說明系統(tǒng)集成室選擇默認實例后，點擊下一步：產品密鑰點擊“下一步”按鈕，進入許可條款界 g 制n面，勾選“我接受許可條款（A）”:點擊“安裝”按鈕:VSUL S*rnr Z»麥莖程洋支特文件單擊“玄藩”型記眩潼程席支清文件* MAMWUUi an弧和bob 謐文詳是咎£的。SQL賈慕相閘SJTT刊錮件I）賣賛

6、程斥竟得龍件E1W7選擇所要安裝的功能以及共 享功能目錄 后，點擊“下 一步”按鈕， 進入實例配置 界面：T - ；：耳】-3 -配置好賬號密碼：(如有疑問，參考附件中天闐入侵檢測與管理系統(tǒng) V7040用戶安裝手冊25-29 業(yè)步驟)選擇混合模式，并添加管理員，點擊下一步：點擊下一步，然后選擇安裝，安裝完成后選擇關閉即可：需要注意的是：數據庫管理軟件安裝完成后打開程序 Microsoft SQL Server 2008配置工具 一 Sql Server配 置管理器 一 SQL Server Configuration Manage SQL Server 200網絡配置 一 SQLEXPRESS

7、協(xié)議 中的TCP/IP狀態(tài)為已啟用，如果是禁用狀態(tài)，請將該狀態(tài)改為已啟用，并且修改TCP端口為8080, 然后在SQL Server 200服務一 選擇SQL Server (MSSQLSERVER右鍵選擇重新啟動數據庫安裝完成并重啟服務后查看打開控制面板一 性能維護一 管理工具一 服務，查看SQLServer(MSSQLSERVER務，點擊到登陸頁面查看登陸身份是否為本地系統(tǒng)如果不是請調整到本地服務3）天闐入侵檢測與管理系統(tǒng)V7.0安裝點擊運行 天闐入侵檢測與管理系統(tǒng).exe”安裝提示點擊下一步，選擇好安裝目錄，點擊安裝即可。其中需要配置業(yè)務數據導入工具，然后點擊導入:導入完成后，進行數據庫

8、配置和服務端口配置：點擊確定，彈出配置修改成功”等待全部安裝完成后，重啟計算機。222引擎安裝配置步驟1）將工作站與IDS入侵檢測設備的管理口相連，管理口的默認IP地址是：00,用戶名密碼分別是：adm/venus70，用http方式登錄到引擎中。（現場使用IE瀏覽器無法顯示頁面內 容，更換成谷歌瀏覽器之后可以正常顯示）2）登錄成功之后，選擇常用配置 ->組件管理->引擎配置->點擊“新建”按鈕，添加引擎:3）事件庫更新：從官網下載最新的對應型號設備的事件庫文件，進行更新。*±4）策略定2016-433-08ft®好10方式WHS空墜

9、' 1SB=1爭忡呂耳 ARP(2) AUTM(2) DHS(27) F£NGI：H(21) FTP(7G).HTTP(2903) ICMP(29卜!GRP(1制和下發(fā)：在常用配置->策略管理->策略集-> 點擊“新建”：選擇需要的事件進行提交：提交完成后，在組件管理-> 組件狀態(tài)管理-> 選擇需要應用到的網絡引擎，進行策略下發(fā)和應用。223業(yè)務配置選擇其中一個業(yè)務口，將其接入所要檢測的網絡中，一般是接入到交換機中，布線完成后，需要在交換機上做鏡像口配置，用于統(tǒng)計監(jiān)視各端口網絡流量。 不同型號的交換機配置命令不同， 詳 細信息參考附件中天闐入侵檢測與管