天阗入侵检测系统安装配置指导书.doc
《天阗入侵检测系统安装配置指导书.doc》由会员分享,可在线阅读,更多相关《天阗入侵检测系统安装配置指导书.doc(43页珍藏版)》请在冰豆网上搜索。
天阗网络入侵检测系统
安装实施指导书
目录
第一章安装引擎 3
一、 正确连接线缆 3
二、打开超级终端程序 3
三、选择正确的com口并设置参数 4
四、输入控制台登录的口令和密码 5
五、查看当前配置 6
六、修改IP地址和子网掩码 7
七、修改路由(网关) 8
八、提示重启引擎 9
九、重新进入引擎后检查配置 10
十、密钥重置 10
十一、退出配置界面 11
第二章安装组件 11
一、数据库的安装 11
二、关键组件的安装 12
三、数据库导入 13
四、辅助组件的安装 14
第三章基本配置阶段 14
一、建立管理员帐号 15
二、管理控制中心 16
三、添加组件 16
四、启动探测引擎和显示中心 18
五、配置通讯参数 19
六、分级管理 20
七、导入授权文件/录入授权序列号 21
八、升级事件库 22
九、编辑并选择策略下发到探测引擎 24
第四章数据库维护 27
一、自动维护 27
二、手动维护 28
三、日志导入 30
附件一、微软SQLserver系统安装步骤 31
附件二、ODBC数据源建立和备份库查询 38
一、配置数据源ODBC 38
二、 使用日志分析中心查询备份库 41
第一章安装引擎
本文档为天阗6.0网络入侵监测系统(网络型)的基本安装和使用过程。
具体参数设置根据实际环境而定。
一、正确连接线缆
将控制线缆的一端接到引擎背后有图标的接口上,另外一端连接配置终端的com口上;将数据线的一端连接到引擎背后有图标的接口上,一端连接到数据交换机的镜像口上;将数据线的一端连接到引擎背后有图标的接口上,另一端连接到交换机上用于引擎通讯的端口上。
打开引擎电源开关。
二、打开超级终端程序
从“开始——〉程序——〉附件——〉通讯——〉超级终端”上打开超级终端程序,如图1-1:
图1-1
三、选择正确的com口并设置参数
进入超级终端的界面后,需要命名,根据需要随意命名。
如图1-2:
图1-2
确认后,选择正确的COM口,根据具体的主机而有所不同。
如图1-3:
图1-3
然后设置正确的参数,具体数值如图1-4所示:
图1-4
点击确定后回车即可进入配置界面。
四、输入控制台登录的口令和密码
如图1-5,进入到了网络探测引擎的配置界面。
图1-5
然后输入用户名:
venus;密码:
1234567,回车后进入到了菜单形式的配置界面,如图1-6:
图1-6
五、查看当前配置
在配置界面中,选择1,显示当前的配置,如图1-7:
图1-7
六、修改IP地址和子网掩码
根据规划好的IP地址,以ip:
192.168.1.200,掩码:
255.255.255.0为例。
选择选2,进入到配置IP的界面。
根据提示,选择网口3,然后输入ip地址,在输入网络掩码。
系统提示是否同意修改,选择1确认。
即可完成地址的修改。
如图1-8
图1-8
七、修改路由(网关)
根据需要修改网关,以路由“0.0.0.0/0.0.0.0192.168.1.254”为例。
选择选项4,然后输入路有条数1,根据提示,分别输入目标网络地址:
0.0.0.0,目标网络掩码:
0.0.0.0,网关IP:
192.168.1.254。
系统提示是否更改,选择1同意修改。
然后系统建议重启。
如图1-9:
图1-9
八、提示重启引擎
选择选项8对系统进行重启,然后选1同意重启,系统进入重启阶段;过程如图1-10:
图1-10
九、重新进入引擎后检查配置
几分钟后,系统重启完成,使用用户名和密码重新进入系统,我们选择1显示当前配置,确认ip地址和网关已经配置成功。
十、密钥重置
为了确保新的控制中心能正确连接引擎,我们需要重置密钥文件,选择选项3,然后选择1同意密钥重置。
如图1-11:
图1-11
十一、退出配置界面
确认当前配置正确后,选择15,退出配置界面。
第二章安装组件
一、数据库的安装
由用户方提供并安装完成sqlserver2000版本的数据库系统,并且打上sp4补丁。
如果用户不能提供sqlserver2000,则暂时使用MSDE,安装过程如下:
放入光盘,自动运行后,在界面上,选中并点击“MSDE数据库”,系统自动安装并完成。
安装完成后,需要重启机器。
安装视图如图2-1:
图2-1
二、关键组件的安装
重新启动后,运行光盘上的程序,选中“网络入侵检测”并且点击安装,稍后按照:
下一步—〉接受许可,下一步——〉输入用户名和公司名,下一步——〉全部安装,下一步——〉使用默认路径,下一步——〉安装——〉即可,过程如图2-2:
在安装过程中,系统要求进行数据库初始化,以下为说明,界面如图2-2:
图2-2
服务器:
如果使用的是网络数据库,则输入网络数据库的IP地址;如果使用本地安装的数据库,或者使用原先安装的MSDE数据库,此处不用更改;
修改本地数据库密码:
如果安装的是MSDE,由于MSDE默认安装的情况下密码为“venus60”,如果我们打算修改该密码,则点击“修改本地数据库密码”,在“sa新口令”和“确认新口令”输入相同的口令后点击确认,稍后出现“密码已更改”的修改成功的提示。
如图2-3:
图2-3
数据库名:
数据库名由系统自动生成,可以不做更改;也可以根据需要更改;
用户ID:
数据库管理员的帐号,默认情况下是sa,可以不做更改;
密码:
sa的密码;
文件目录:
默认情况是系统C盘的根目录。
需要在D盘建立相应的文件夹,如D:
\IDSDB;
数据源:
系统自动确定,不做改动;
数据源名称:
系统自动建立,不做更改;
三、数据库导入
安装过程中出现数据库初始化界面,按照上述说明填入正确参数后,确定——〉提示数据库开始导入,确定——〉。
导入过程如图2-4:
图2-4
四、辅助组件的安装
数据库初始化完成后,提示导入成功,确认后进一步自动安装,出现水晶报表安装界面,下一步——〉接受许可,下一步——〉输入用户名和公司名,下一步——〉全部安装,下一步——〉安装——〉完成;
自动安装SNMP组件;
自动安装完SNMP组件后,进入升级程序的安装;下一步——〉默认路径,不用修改,下一步——〉安装——〉完成;
自动安装升级组件;
整个天阗系统至此安装完成。
需要重启系统。
第三章基本配置阶段
重新启动系统后,即可进行下面的基本配置。
一、建立管理员帐号
选中“开始——〉程序——〉启明星辰——〉用户管理审计”,使用用户admin,密码venus60进入用户管理界面。
如图3-1:
图3-1
进入用户管理界面后,点击“添加用户”,在新弹出的界面中输入需要创建的用户名:
venus(各地均以此为登陆名),所在组选择“管理员”,密码:
venus60(各地统一设置此密码)(数字和字符结合,至少六位),选中“允许登录”。
其他选项可填也可不填。
点击“确定”后就创建好了一个新的管理员帐号。
其过程如图3-2:
图3-2
二、管理控制中心
选中“开始——〉程序——〉启明星辰——〉管理控制中心”,提示输入序列号,输入随机光盘封面上的序列号即可。
然后进入控制中心初始化界面,所显示的IP地址为系统自动识别的本机地址。
在“管理控制中心名字”里面输入易于识别的名称即可。
确定后进入了管理控制中心的主界面。
三、添加组件
进入控制中心界面后,进入“组件管理——〉添加组件”,如图3-3:
图3-3
然后添加网络引擎,名称:
“探测引擎”,类型:
“网络引擎”,IP地址:
“192.168.1.200”(以此IP为例),其他参数不改动,确认后添加完成。
如图3-4:
图3-4
再添加显示中心,名称:
“显示中心”,类型:
“显示中心”,IP地址:
“192.168.1.100”(以此IP为例),其他参数不改动,确认后添加完成。
如图3-5:
图3-5
四、启动探测引擎和显示中心
添加完组件后,启动探测引擎和显示中心;
选中探测引擎,点击右键,选中“连接”即可。
一般情况下,系统自动连接所有组件。
视图如图3-6:
图3-6
然后再启动显示中心,从菜单“视图选择——〉综合信息显示”,打开了显示中心,过程如图3-7:
图3-7
五、配置通讯参数
打开显示中心后,需要修改其连接设置。
在综合信息显示界面中,点击菜单“系统设置”后,出现设置界面,将控制中心IP地址修改为:
192.168.1.100,其余参数不变。
如图3-8:
图3-8
最后确认所有组件连接成功,状态视图如图3-9:
图3-9
六、分级管理
1、本级设置
本级设置主要在各直属关上作为子控进行设置。
从主菜单的“分级管理-本级设置”,进行,如下:
设置参数如下图:
根据原有要求,需要将所有参数选中。
2、下级设置:
下级设置只需要在全国信息中心的总控进行设置,添加子控组件后,选中子控,从“分级管理-下级设置”进入,如下图所示:
事件级别选择:
高级事件,中级事件
同步安全类型:
全选中
选中“同步子控日志”
这样,上级控制中心会收到下级控制中心上报的高级、中级事件
七、导入授权文件/录入授权序列号
如需要导入授权,应首先取得以“txt”文件存在的授权码文件。
回到管理控制中心主界面,右健选择“引擎”,选择“授权文件下发”,如下图:
找到授权文件路径,选中然后选择打开,完成授权工作。
在管理控制中心主界面右健选择“引擎”—“属性”,打开引擎属性界面,然后选择“授权状态”可以查看,具体的授权情况。
八、升级事件库
1、升级选项设置:
更新升级——〉入侵检测——〉自动更新,选中“是否将升级后的策略应用到引擎”;
图3-11
2、更新升级——〉更新设置——〉选中“高级”、“中级”确定。
图3-12
3、在“更新升级——〉入侵检测——〉手工更新”菜单中进入手工更新界面。
然后点击“浏览”制定升级文件后,点击“升级”。
就自动进入事件库升级过程,同时显示所更新的事件名称和数量。
最后弹出一个txt文本,描述了升级的历史记录。
保存后关闭即可。
在点击“退出”退出升级界面。
过程如图3-13:
三恶-
图3-13
九、编辑并选择策略下发到探测引擎
从“策略任务——〉入侵检测——〉策略编辑”中进入“选择策略”的界面,选中“策略集操作”后弹出了“集合操作”的窗口。
在“主策略集”和“从策略集”中将热点事件集和增量升级事件集选中,操作符选中“并”。
过程如图3-14:
图3-14
点击确定后输入该策略的新名称此处为“测试策略”,就进入了新策略的编辑界面中,点击编辑界面左上角的保存图标后关闭主界面。
过程如图3-15:
图3-15
回到控制中心主界面中,选中探测引擎,点击右键。
选中“策略下发”后,探出了新的界面,在该界面中选择需要下发的策略,此处选择“测试策略”。
如图3-16:
图3-16
点击确认后稍等一会,当策略下发成功后,策略名称和下发事件会显示在主界面中探测引擎所在行的策略任务列下。
策略下发成功如图3-17:
图3-17
第四章数据库维护
一、自动维护
从主菜单“日志管理——〉入侵检测——〉日志维护”进入数据库维护界面,如图4-1:
图4-1
首先需要在D盘下面创建“idsdb_bak”文件夹用于存放自动备份数据库文件。
此文件夹也用于存放平时手工备份的数据库文件。
然后点击“自动维护”,选中“启用数据库自动维护”前面的复选框,
升级会员 