启明星辰入侵检测设备配置文档Word文档下载推荐.docx
《启明星辰入侵检测设备配置文档Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《启明星辰入侵检测设备配置文档Word文档下载推荐.docx(9页珍藏版)》请在冰豆网上搜索。
根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
不同于防火墙,IDS入侵检测设备是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。
因此,对IDS的部署,唯一的要求是:
IDS应当挂接在所有所关注流量都必须流经的链路上。
典型拓扑:
1.2IDS工作流程介绍
入侵检测系统的工作流程大致分为以下几个步骤:
1.信息收集入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。
2.信号分析对上述收集到的信息,一般通过三种技术手段进行分析:
模式匹配,统计分析和完整性分析。
其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
具体的技术形式如下所述:
1).模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
2).统计分析,分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。
测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。
3).完整性分析,完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。
完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5,能识别及其微小的变化。
第2章启明星辰入侵检测设备的安装介绍
2.1产品外观
从左到右分别是:
管理口,USB口,1-5业务口
2.2安装与配置步骤
产品安装与部署步骤包括:
控制中心安装和引擎安装部署。
控制中心需要安装在一台PC上,即需要为IDS入侵检测设备配置一台专门的工作站。
这里提到的引擎就是指入侵检测设备。
2.2.1控制中心的安装步骤
1)准备一台工作站,安装上winserver操作系统,可以是Windows
Server2008R2Standard64位或者是WindowsServer2012R2standard
64位,(现场测试时,Win764位操作系统不能通过HTTP方式配置引擎)
7
2)SQLserver数据库安装:
在随机附带的安装光盘中有SQLserver数
据库安装包,具体步骤如下:
双击“SQLServer2008Express.exe”,等待一会,进入SQLServer安装中心界面:
择“全新SQLServer独立安装或向现有安装添加功能”一项:
点击“确定”进入产品密钥界面:
点击“下一步”按钮,进入许可条款界面,勾选“我接受许可条款(A)”:
点击“安装”按钮:
3蛊
-.旦_1
竇慕秤佯支持文件
单岳.赛IT以索裳琳强I?
夷静文件。
若鼻赛裳褰見無SOLs™Mh迤龙件屡加■«
・
=品密再
宵司芋暫
丨加删
O
WfSET^文件
疋在迸打
SJLS*r・r方¥
隍厚;
5要下乳貂件工i
正在股行WindMEInstallar乍口
选择所要安装的功能以及共享功能目录后,点击“下一步”按钮,进入实例配置界面:
选择默认实例后,点击下一步:
配置好账号密码:
(如有疑问,参考附件中《天阗入侵检测与管理系统V7040
用户安装手册》25-29业步骤)
选择混合模式,并添加管理员,点击下一步:
点击下一步,然后选择安装,安装完成后选择关闭即可:
需要注意的是:
数据库管理软件安装完成后打开程序MicrosoftSQLServer2008—>配置
工具一>SqlServer配置管理器——>SQLServerConfigurationManager——>
SQLServer2008网络配置一>SQLEXPRES的协议中的TCP/IP状态为已启用,如果是禁用状态,请将该状态改为已启用,并且修改TCP端口为8080,然后在
SQLServer2008服务一>选择SQLServer(MSSQLSERVER—>右键选择重新启动
数据库安装完成并重启服务后查看打开控制面板一>性能维护一>管理
工具一>服务,查看SQLServer(MSSQLSERVER)务,点击到登陆页面查看登陆身份是否为本地系统如果不是请调整到本地服务。
3)天阗入侵检测与管理系统V7.0安装
点击运行天阗入侵检测与管理系统.exe”,安装提示点击下一步,选择好安装目录,点击安装即可。
其中需要配置业务数据导入工具,然后点击导入:
业貝汰嗚碍入工口
导入完成后,进行数据库配置和服务端口配置:
点击确定,弹出配置修改成功”,等待全部安装完成后,重启计算机。
222引擎安装配置步骤
1)将工作站与IDS入侵检测设备的管理口相连,管理口的默认IP地址是:
192.168.0.200,用户名密码分别是:
adm/venus70,用http方式登录到引擎中。
(现场使用IE浏览器无法显示页面内容,更换成谷歌浏览器之后可以正常显示)
2)登录成功之后,选择常用配置->
组件管理->
引擎配置->
点击“新建”按钮,添加引
3)事件库更新:
从官网下载最新的对应型号设备的事件库文件,进行更新
▼彌阵丰越卄蜕
201MB-OB
■7511严纹至呈錚證热
转绘?
誓
鯉■
►升锻吕示
4)策略定制和下发:
在常用配置->
策略管理->
策略集->
点击“新建”: