绿盟IDS的安装和部署讲稿.docx
《绿盟IDS的安装和部署讲稿.docx》由会员分享,可在线阅读,更多相关《绿盟IDS的安装和部署讲稿.docx(12页珍藏版)》请在冰豆网上搜索。
绿盟IDS的安装和部署讲稿
绿盟IDS的安装和部署
1.绿盟IDS产品概述
绿盟的IDS分为200系列、600系列、1200系列、1600系列,我们公司用的最多的600系列和1200系列。
其中600系列为百兆IDS,1200为千兆IDS。
这里的百兆和千兆是指业务监听端口而言,而管理口都是百兆的。
在IDS探测器背板网卡有Comm标识的为管理端口,有Monitor标识的为监听口。
无论是哪个型号的IDS,配置步骤都是一样的。
2.绿盟IDS安装
安装主要包括探测器的安装和控制台的安装。
探测器的安装主要是主要是通过
串口对IDS本身进行配置。
控制台的安装主要是在一个服务器上面安装IDS的管理
端程序。
2.1探测器的安装
使用串口线连接探测器(硬件)的串口,用超级终端软件进入探测器(硬件)
的配置管理界面,登录用户名为conadmin,密码为nsfocu®注意端口属性设置中的每秒位数为115200。
成功登录网络探测器之后,出现探测器管理语言选择界面选择【中文】按回车键,进入探测器管理中文菜单界面。
SelectFermiLanguage■l————————+
1■中文
2.English
H+
2.1.1查看设置系统信息
管理员可以进行以下操作:
显示网络设置一一查看系统网络配置的统一结果,系统提供了网络配置参数表;
<确定》
显示证书信息一一查阅冰之眼NIDS的硬件设备证书,包括证书状态、证书类型、证书版本、授权者和签发时间等;一般情况,产品出厂时已配置了证书,无须导入
2•显示证书信息
L显示网络设置
3・设置系统时钟证书信息k
&•设置系统时区!
_
5•硬件特征值|证书状态:
正确
6■产品版本信息[
0•返回上级菜单丨证书类型:
授权
!
证书版本:
3.5
1颁发给:
NIDS-600-0512H-062
1颁发日期:
2006年01月10日肛时F显示当前冰之眼硬桝截止日期:
2016年01月08日01时r
(I
设置系统时钟一一设置系统时钟,以供通讯和日志记录时使用;
设置系统时区一一设置系统时区,方便探测器位于其他时区时的使用默认为东8时区,不用改;
硬件特征值一一硬件特征值是每台网络探测器的唯一标识,在给其制作证书时需要获取该值;
1.显示网络设置
2•显示证书信息
3.设置系统时钟&・空置系统时区
0•返回上级菜单
查时从布卤髦敌畔?
[6B
硬件持征值:
76FD-68B6-A588-1BC7
按回车键继续
产品版本信息—显示当前版本的详细信息。
2.1.2配置探测器网络参数
硬件设备的所有网络配置都在这里进行:
(此处的通讯端口就是IDS管理端口)设置通信端口的IP地址——通信端口的网络IP地址,供控制台等网络通讯使用;
设置通信端口的网络掩码一一通信端口的网络掩码,供控制台等网络通讯使用;
设置冰之眼主控制台ip地址一一指定主控制台的ip地址,它可以对设备有一定控制权,包括远程启动/停止、升级、获得日志等控制管理权限只有主控台的IP地址对于IDS有写权限。
L设置通信端口的IP地址
2.设置通信端口的网络掩码
3.设置通信端口的缺背网关
设置冰之眼控制台IP地址一一指定需要设备进行主动连接的控制台的IP地址,对于由控制台向设备主动连接的控制台,则不需要在此设置,在使用中请检查设备和控制台两端的配置以避免冲突。
这些IP地址对IDS
只有只读权限
2.1.3其他配置参数说明
设置防火墙联动:
主要用来设置和各种型号防火墙的联动,不建议设置。
设置SNMP支持:
主要用来和第三方的网管软件使用SNMP协议进行通讯
网络工具:
主要提供了ping、Tracert、NetStat等排错用的小工具
设置管理员密码:
修改串口管理员conadmin的密码
系统初始化:
恢复到出场值
开启远程协助:
打开这个选项,可以直接用SSH连接IDS,进行管理,就像通过串口进行管理
一样,不同于管理控制台的管理。
注意这个地方的SSH端口不是标准的22端口。
2.1.4总结
一般来说,我们只需要配置通讯端口的IP地址、子网掩码、网关以及主控制器
IP地址就可以了。
2.2控制台的安装
控制台软件建议安装在操作系统为Windows2000Server或者WindowsServer2003上面。
安装控制台软件前需要安装MSDE数据库(MSDE是微软SQLServer数据库的免费版本)。
步骤如下:
1确认安装权限
请以系统管理员的身份登录系统。
2、插入安装光盘
将安装光盘放入光驱,安装向导自动运行,
3、安装MSDE
点击安装向导界面中的【安装MSDE】,或者直接运行安装程序(安装路
径为光盘根目录\MSDE2000\setup.exe)。
4、安装MSDE补丁
MSDE安装完毕,建议运行光盘中最新MSDE补丁(安装路径为光盘根目录
MSDE2000\Updates\CHS_SQL2KDeskSP3.exe。
最好打上数据库补丁。
5、安装控制台
点击安装向导界面中的【安装控制台】,或者直接运行安装程序(安装路径为光盘根目录\IDSConsole\setup.exe,安装过程中需要配置以下参数。
导入证书:
(此处证书是绿盟公司提供的,详细情况下面有叙述)
点击jttJd:
Ca£^Wlt+I?
导忙冰之服征书
握示:
近韦为羽如L-sf-idj.du的宝件口
由绿鹽科技随产品发技・i正将乏沏下能克換使用.
:
□果您盪育戒塚ILE书」诸联采ids^r-E^OSHE.COfr
疑战日期
EftM'-li-ir
证韦裁止日朗
2005-1-16控制台編号
CdlkEO1S*1
管理的探回磊
OB99-DE5&-83ie-5tl£—M330_觴『3-iBWr-SZAT—53A^-D9BC-15«)-70Mt
CfW»'■Iif~9T~^»9WVH-V—
获借.
迟岀(X)
绿盟科技
通信参数
通常系统会自动侦测到通信参数,冰之眼控制台使用该IP地址与探测器通信,仅当系统使用多网卡时才需要特别指定。
管理员信息
NIDS可以将告警日志或日志分析报表通过电子邮件发送给管理员,因此推
荐在此填写管理员信息。
系统支持使用SMTP认证的发信服务器
自动化任务:
(如果IDS不能连接互联网,定时升级功能取消)
通过制订任务计划,可以减轻管理员的工作强度,提高产品的持续运行时间。
制订任务计划
F走时运行冰■加艮在幾升氨
提康:
猱艺眼通逆HITF协饮于髯天凑晨正丽韦丽首动连接绿盟科拽升嵋站点下载最新的规则库°
F7垂聊备份和満除冰之眼日志阵
"繇硕正日刼襁天写致素蘇看镇率窿厲~试之服慕塩于毎月1日凑晨"曲自动备粉并清除上月日志记录"(备份齬径討安装目录的t■詬目录下,请确保寰装文件斯在的硬盘是醴大)
庁走时产主月摇表
摄示;定时(莓月1日護晨I:
02产主月菽Jftil过酬⑴发送绐菅理岗.方便昔理扇了琳到当前的网第安全状呪°(便用此戲能湄确认音理员酬就1和SMTF报畀黠设豎正确)
t上一步0)下一》
NIDS安装成功后重启,即可启动开始使用,启动方法有两种:
(1)点击桌面上的快捷方式冰之眼控制台;
(2)选择Windows菜单【开始】一>【程序】一>【冰之眼入侵检测系统】—>【控制台】一>【冰之眼控制台】。
登录系统的初始用户名为admin,密码为nsfocuso
在管理主机上面,运行“冰之眼控制台”,出现以下界面:
登陆系统如下:
3.绿盟IDS使用
参见绿盟随机的《用户手册》,此处不再详述
4.绿盟IDS的部署
绿盟IDS的管理端口连接在局域网的一个普通的网口上面,能和局域网进行联
通即可。
监听口连接在交换机上面,交换机上面对应的端口必须配置端口镜像。
下面举一个例子:
护■»L总事蛊囉爭誥审廉思希齐註鱼共負源于禺
;«H:
J6tlJt
绿盟IDS的监听口连接防火墙中立区交换机上面,在交换机上面配置端口镜像,用连接IDS的端口镜像连接防火墙的端口。
(交换机上面端口镜像的配置方式另外参加《交换机端口镜像配置方式》文档)
绿盟IDS的管理端口连接到局域网,用来管理IDS
5.绿盟IDS的升级
绿盟IDS升级包括三部分,分别是探测器软件、规则库以及控制台软件。
我们一般的客户安装IDS都是在专网中,和互联网没有物理连接,不能在线升级,只能通过下载软件的方式升级,绿盟的官方升级软件下载地址为:
http:
//update.nndex.htm
5.1探测器软件的升级:
探测器升级就是对IDS硬件本身进行升级。
升级的方式为:
1:
从绿盟官方网站上面下载最新的探测器程序到主控制台的管理主机上面。
2:
在管理控制台中用右键点击IDS探测器,出现“升级”菜单,直接进行升级。
5.2规则库的升级
规则库就是下发到IDS探测器的需要IDS监测的规则。
升级方式为:
1:
从绿盟官方网站上面下载最新的规则库程序并安装在主控制台的管理主机上面。
2:
用管理控制台下发最新的规则到IDS探测器。
5.3控制台的升级
控制台软件就是管理IDS的那个软件。
1:
从绿盟官方网站上面下载最新的控制台程序并安装在主控制台的管理主机上面。
2:
注意,可能有的版本升级需要首先卸载原来的控制台版本,具体方式请参加官方的升级说明。
6.绿盟IDS策略的应用
请按照用户的实际环境进行配置,官方提供了很多模版。
一般情况下,使用攻
击的检测就可以,不要用审计那个策略。
如果没有连接互联网,不要使用P2P和IM
的检测。
如果官方的模版不满足要求,可以自己添加自定义的策略,具体方法请参见绿盟的《用户手册》。
7.绿盟IDS的测试
可以用一个攻击的软件或者ping什么的来测试,具体请自己搞定。
主要是叫网管知道,IDS能检测出攻击来。
8.绿盟IDS其他问题
绿盟入侵检测安装时候需要证书,方式为绿盟给你mail过来,请提前和绿盟公司要。
其他问题,参加IDS随机手册,另外有技术问题可以直接给绿盟打电话:
010—
68438880,叫前台转售后即可,不需要提供序列号等。
升级会员 