IDS入侵檢測安裝調(diào)試培訓(xùn)

1、IDS安裝調(diào)試培訓(xùn)教材目錄入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺和探測器)聯(lián)想網(wǎng)御IDS的策略配置日志數(shù)據(jù)庫的維護(hù)規(guī)則庫升級目錄入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺和探測引擎)聯(lián)想網(wǎng)御IDS的策略配置日志數(shù)據(jù)庫的維護(hù)規(guī)則庫升級網(wǎng)御入侵檢測產(chǎn)品介紹結(jié)構(gòu) 基于C/S模式聯(lián)想網(wǎng)御新版IDS型號百兆標(biāo)準(zhǔn)型：N120百兆增強(qiáng)性：N820千兆標(biāo)準(zhǔn)型：N3200千兆增強(qiáng)型：N5200入侵檢測系統(tǒng)的部署（原則）理解網(wǎng)絡(luò)拓?fù)淅斫庑枨螅男┬畔⒘餍枰獧z測）得出可行的接入點(diǎn)和接入方式能否優(yōu)化優(yōu)先1 不改變現(xiàn)有拓?fù)鋬?yōu)先2 Sensor和Console間通信的可靠優(yōu)先3 避免對冗余流量

2、的分析部署模式共享模式HUBIDS SensorMonitored ServersConsole監(jiān)聽口無IP管理口單獨(dú)部署部署模式交換模式SwitchIDS SensorMonitored ServersConsole通過端口鏡像實(shí)現(xiàn)（SPAN / Port Monitor）監(jiān)聽口無IP管理口單獨(dú)部署部署模式TAP模式SwitchIDS SensorMonitored Servers通過TAP設(shè)備ConsoleTAP無IP部署模式隱蔽模式（帶外管理）SwitchIDS SensorConsole無IP目錄入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺和探測器)聯(lián)想網(wǎng)御IDS的策略配置日

3、志數(shù)據(jù)庫的維護(hù)規(guī)則庫升級控制臺必須安裝在windows2000及以上平臺（盡量使用professional) 文件系統(tǒng)盡量使用NTFS格式 安裝最新的service pack 關(guān)閉不必要的服務(wù) 確保賬號的安全性產(chǎn)品安裝入侵檢測系統(tǒng)控制臺安裝把安裝盤放入光驅(qū)，自動運(yùn)行安裝程序或手動選擇執(zhí)行“網(wǎng)御IDS 控制臺安裝”程序setup.exe控制臺安裝步驟入侵檢測系統(tǒng)控制臺安裝仔細(xì)閱讀網(wǎng)御IDS使用協(xié)議，如果同意請選“是”，不同意則選“否”?？刂婆_安裝步驟入侵檢測系統(tǒng)控制臺安裝填寫用戶注冊信息。控制臺安裝步驟網(wǎng)御IDS 控制臺的默認(rèn)路徑為“C:Program FilesLenovo IDS”。假如更改

4、安裝路徑，則選擇“查找”指定安裝的路徑，按“確認(rèn)”按鈕。再按“下一步”。入侵檢測系統(tǒng)控制臺安裝控制臺安裝步驟網(wǎng)御IDS 控制臺的安裝過程需要導(dǎo)入認(rèn)證證書，用戶選擇相應(yīng)目錄下的任意一個證書即可。入侵檢測系統(tǒng)控制臺安裝控制臺安裝步驟網(wǎng)御IDS 控制臺的安裝過程需要導(dǎo)入認(rèn)證證書，用戶選擇相應(yīng)目錄下的Cacert.pem或izpl.pem任意一個證書即可。入侵檢測系統(tǒng)控制臺安裝控制臺安裝步驟入侵檢測系統(tǒng)控制臺安裝選定證書后，按“下一步”按鈕。進(jìn)入選擇服務(wù)的程序組名，缺省為網(wǎng)御IDS控制臺v3.2.8?？刂婆_安裝步驟入侵檢測系統(tǒng)控制臺安裝確認(rèn)安裝事項(xiàng)后，按“下一步”按鈕。開始復(fù)制文件?？刂婆_安裝步驟入侵

5、檢測系統(tǒng)控制臺安裝選擇默認(rèn)保存日志的路徑后繼續(xù)“下一步”。控制臺安裝步驟入侵檢測系統(tǒng)控制臺安裝安裝結(jié)束后出現(xiàn)如下“安裝結(jié)束”畫面，按“完成”按鈕，結(jié)束安裝?？刂婆_安裝步驟探測引擎設(shè)置使用隨機(jī)所附的串口線，將聯(lián)想網(wǎng)御IDS探測引擎的串口與一臺裝有超級終端的個人計(jì)算機(jī)的串口連接起來。設(shè)置超級終端直接連接到串口1，如下圖：探測引擎連接設(shè)置探測引擎設(shè)置設(shè)設(shè)置超級終端的波特率：38400；數(shù)據(jù)位：8；奇偶校驗(yàn)：無；停止位：1；流量控制：無，如下圖：探測器連接設(shè)置探測引擎設(shè)置按回車鍵，建立連接后（出現(xiàn)login: 提示符），輸入正確的賬號和密碼，就能夠登陸網(wǎng)御IDS探測引擎，進(jìn)入網(wǎng)御IDS探測引擎的設(shè)置模

6、式。網(wǎng)御IDS探測引擎出廠時，默認(rèn)的串口管理員賬號和密碼分別為：lenovo/default，下圖為登陸后的主界面探測引擎設(shè)置串口登陸后即進(jìn)入探測引擎配置主菜單探測引擎設(shè)置在主菜單內(nèi)選擇2系統(tǒng)管理,進(jìn)入系統(tǒng)管理界面探測引擎設(shè)置在系統(tǒng)管理界面輸入1網(wǎng)絡(luò)配置，進(jìn)入網(wǎng)絡(luò)配置界面探測引擎設(shè)置在網(wǎng)絡(luò)配置界面輸入1查看&編輯IP配置，進(jìn)入通訊端口IP地址配置界面探測引擎設(shè)置選擇1開始并完成通訊端口的IP地址配置控制臺設(shè)置首先以帳號：lenovo密碼：default的帳號口令登陸網(wǎng)御IDS的控制臺控制臺設(shè)置在菜單“資產(chǎn)”內(nèi)選擇引擎，并在客戶端資產(chǎn)管理引擎窗口 內(nèi)選擇“添加”控制臺設(shè)置在添加探測引擎的過程中需

7、要為探測引擎相應(yīng)的檢測策略控制臺設(shè)置點(diǎn)擊此處“確定”，完成探測引擎的添加工作控制臺設(shè)置點(diǎn)擊菜單“引擎”下的“策略”，進(jìn)入策略編輯界面。聯(lián)想網(wǎng)御IDS缺省帶有5個策略模板，可以通過策略模板派生出相應(yīng)策略供用戶編輯控制臺設(shè)置雙擊派生出策略或選擇要編輯的策略選擇“編輯”，進(jìn)入策略編輯注意：控制臺與探測器之間是C/S模式，通訊是每時都在進(jìn)行的，當(dāng)探測引擎在未與控制臺連接的狀態(tài)下長時間單獨(dú)運(yùn)行時，會將報(bào)警日志緩存在探測引擎的本地硬盤上，當(dāng)控制臺再次連接上探測引擎后，探測引擎會自動將報(bào)警日志上傳給控制臺，由于傳送和存儲日志會占用很多系統(tǒng)資源，在自動傳送日志時，控制臺會出現(xiàn)運(yùn)行緩慢的現(xiàn)象，用戶需等待，具體時

8、間視控制臺配置和日志大小而定?？刂婆_后臺數(shù)據(jù)庫包含網(wǎng)絡(luò)私密信息，所以，最好讓控制臺專機(jī)專用，不要和其他系統(tǒng)安裝在一起。以免信息泄露。盡量只選擇并使用一個監(jiān)聽口，這樣可以最大發(fā)揮產(chǎn)品的性能，多監(jiān)聽口同時工作會降低產(chǎn)品。 目錄入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺和探測器)聯(lián)想網(wǎng)御IDS的策略配置日志數(shù)據(jù)庫的維護(hù)規(guī)則庫升級控制臺策略配置-內(nèi)網(wǎng)對象進(jìn)入策略編輯界面編輯用戶自定義策略首先需要根據(jù)用戶實(shí)際網(wǎng)絡(luò)編輯內(nèi)網(wǎng)對象?？刂婆_策略配置-內(nèi)網(wǎng)對象進(jìn)入策略-網(wǎng)絡(luò)編輯界面添加內(nèi)網(wǎng)對象，添加相應(yīng)的內(nèi)網(wǎng)名稱、網(wǎng)絡(luò)/IP范圍、選定“內(nèi)部IP”選項(xiàng)，只有選定了“內(nèi)部IP”所添加的內(nèi)網(wǎng)對象才能生效。注

9、意：內(nèi)網(wǎng)對象的定義影響部分功能的正常工作。建議用戶在部署、使用產(chǎn)品之前，要先定義好內(nèi)網(wǎng)對象。受內(nèi)網(wǎng)對象影響的功能有：網(wǎng)絡(luò)流量統(tǒng)計(jì)功能部分掃描攻擊檢測部分DoS攻擊檢測控制臺策略配置-響應(yīng)方式點(diǎn)擊快捷工具欄上“響應(yīng)”，進(jìn)入響應(yīng)編輯窗口。主界面提供了非聯(lián)動的響應(yīng)方式列表?？刂婆_策略配置-響應(yīng)方式聯(lián)動類響應(yīng)方式需添加，選擇“添加”按鈕后，選擇相應(yīng)類型中的相關(guān)響應(yīng)方式進(jìn)行配置即可?？刂婆_策略配置-響應(yīng)方式應(yīng)用響應(yīng)策略。在快捷工具欄中選擇“事件/策略”下的“策略”下的“添加”，用戶可按事件名、源地址、目的地址、風(fēng)險(xiǎn)級別、事件類型、服務(wù)、時間等因素組合定制響應(yīng)的響應(yīng)方式控制臺策略配置-策略下發(fā)編輯完策略后

10、，將被編輯的策略拖拽到需要應(yīng)用的探測引擎，系統(tǒng)會通知用戶“是要把策略應(yīng)用于引擎嗎”，選擇“是”系統(tǒng)即會自動下并應(yīng)用這個策略。 目錄入侵檢測系統(tǒng)在網(wǎng)絡(luò)中的部署聯(lián)想網(wǎng)御IDS的安裝(控制臺和探測器)聯(lián)想網(wǎng)御IDS的策略配置日志數(shù)據(jù)庫的維護(hù)規(guī)則庫升級日志數(shù)據(jù)庫的維護(hù)在快捷工具欄中選擇資產(chǎn)-環(huán)境設(shè)置，在此可配置選擇使用ACCESS數(shù)據(jù)庫還是MS SQL SERVER數(shù)據(jù)庫。缺省安裝情況下使用ACCESS數(shù)據(jù)庫日志數(shù)據(jù)庫的維護(hù)日志備份設(shè)置資產(chǎn)-環(huán)境設(shè)置-備份策略設(shè)置，定義按用戶需要的日志備份計(jì)劃任務(wù)，定期執(zhí)行數(shù)據(jù)的備份工作。日志數(shù)據(jù)庫的維護(hù)日志同步在快捷菜單日志-日志同步，進(jìn)入日志同步窗口，日志同步功能是提供手動的日志同步功能包括入侵日志和流量日志兩部分日志數(shù)據(jù)庫的維護(hù)日志刪除在快捷菜單日志-日志備份，進(jìn)入日志備份/恢復(fù)窗口，日志備份/恢復(fù)提供了對日志的手動備份和恢復(fù)功能，日志數(shù)據(jù)庫的維護(hù)日志壓縮在