实验十三IDS设备部署与配置.docx
《实验十三IDS设备部署与配置.docx》由会员分享,可在线阅读,更多相关《实验十三IDS设备部署与配置.docx(13页珍藏版)》请在冰豆网上搜索。
实验十三IDS设备部署与配置
实验十三IDS设备部署与配置
【实验名称】
IDS设备部署与配置
【计划学时】
2学时
【实验目的】
1.熟悉IDS设备的部署方式
2.掌握设备的连接和简单设置
【基本原理】
一、IDS的4种部署方式
1镜像口监听
镜像口监听部署模式是最简单方便的一种部署方式,不会影响原有网络拓扑结构。
在这种部署方式中,把NIDS设备连接到交换机镜像口网络后,只需对入侵检测规则进行勾选启动,无需对自带的防火墙进行设置,无需另外安装专门的服务器和客户端管理软件,用户使用普通的Web浏览器即可实现对NIDS的管理(包括规则配置、日志查询、统计分析等),大大降低了部署成本和安装使用难度,增加了部署灵活性。
部署方式如下图所示:
2NAT模式(可充当防火墙)
NAT模式是将蓝盾NIDS设备作为防护型网关部署在网络出口位置,适合于没有防火墙等防护设备的网络。
在这种部署方式中,蓝盾NIDS设备可同时作为防火墙设备、防DDoS攻击网关使用,可有效利用内置的防火墙进行有效入侵防御联动。
NAT部署采取串联方式部署在主交换机前面,需要对网络拓扑结构进行改造,需要对蓝盾NIDS设备的自带防火墙进行规则设置及内外线连接设置,以达到多重防御的效果。
用户通过Web浏览器可实现对NIDS的全面管理(包括规则配置、日志查询、统计分析等)。
部署方式如下图所示:
3透明桥模式
透明桥模式是将蓝盾NIDS设备作为透明设备串接在网络中。
这样既可以有效利用到蓝盾NIDS的各项功能,也可以不必改变原有网络拓扑结构。
在这种部署方式中,蓝盾NIDS设备可同时作为防火墙设备、防DDoS攻击网关使用,可以利用内置的防火墙进行有效入侵防御联动。
用户通过Web浏览器可实现对NIDS的全面管理(包括规则配置、日志查询、统计分析等)。
通常可以透明方式部署在DMZ区域,可将NIDS作为第二道防护网保护服务组群。
部署方式如下图所示:
4混合模式
混合模式是应用以上三种模式的任意组合将蓝盾NIDS设备部署在较复杂网络。
例如,可以通过一个网口监听某个工作区域子网,通过一对网口透明部署在DMZ区域,一对网口作为NAT防火墙保护另一个重点工作区域,同时对多个网络区域进行保护。
用户通过Web浏览器可实现对NIDS的全面管理(包括规则配置、日志查询、统计分析等)。
部署方式如下图所示:
二连接及设置
1连接设备
下图以镜像口监听模式为例,显示如何连接蓝盾NIDS设备。
2网口出厂配置
蓝盾NIDS设备提供的以太网接口主要有两种类型:
管理口和业务口。
管理口的以太网接口有IP),供设备管理流量和其它告警上报流量通过。
连接到设备管理口的所有管理终端计算机组成的网络称为“管理网络”。
用户通过管理网络内的终端计算机可以访问设备管理口,对系统进行管理和配置。
业务口可配置为镜像口监听模式、透明桥模式、网关NAT模式或者混杂模式。
业务口主要用于捕获网络协议报文进行检测分析,是入侵检测系统“业务”的来源。
3各网口的出厂设置如下:
网口编号
出厂配置
IP地址
备注
LAN1(E1)
管理网口
电口
LAN2(E2)
业务口(监听模式)
无
电口,可配置为NAT、透明桥模式
LAN3(E3)
业务口(监听模式)
无
电口,可配置为NAT、透明桥模式
LAN4(E4)
业务口(监听模式)
无
电口,可配置为NAT、透明桥模式
除了默认管理LAN1网口外,其余网口的设置均可在界面进行重新配置。
例如,用户可以将LAN3、LAN4网口配置为透明桥。
4登录管理界面
从管理PC登录蓝盾NIDS设备Web管理界面前,需要确认管理PC的IP地址与设备缺省管理口IP/24。
透过网线或独立交换机(非业务交换机)将管理PC连接到LAN1口,打开IE浏览器,在IE地址栏输入https:
//192.168.0.145,便可登录到蓝盾NIDS设备的web管理界面。
初始用户名为“admin”,密码为“888888”。
登录后出现主界面如图所示:
注意:
蓝盾NIDS设备前面板上标志为LAN1的以太网口为系统缺省管理口,缺省IP地址。
如此默认IP地址与用户网络IP地址无冲突,建议用户使用此默认IP地址。
如果确实有需要更改管理口IP地址,则在下次启动时需要使用更改后的IP地址登录。
基于系统安全考虑,管理系统同一时间内只允许1个同名的用户登录。
用户可设置多个用户帐号,为不同用户分配不同操作权限进行管理
5、网络配置前的准备
出厂配置已经有定义好的管理口、监听口。
建议尽量使用出厂配置模式。
如果出厂配置不满足实际网络需求,才进行合理调整。
网络配置前,请先确定网络的拓扑结构和连接方式(旁路、透明、NAT、混合),并定义好使用的网口,以免配置过程中造成混乱。
如需要添加桥或NAT的外线接口,首先需要删除默认选项的监听网口。
例如,删除LAN3、LAN4镜像口,释放网口LAN3、LAN4。
否则在透明桥接口或者NAT网口选项中没有网口可供使用。
【实验拓扑】
以镜像口监听的部署方式来进行实验配置。
【实验步骤】
一、IDS的初始配置。
1、“网络设置”→“网口配置”→“网口”,将E2的LAN2的IP配置为,点击保存,然后重启网络。
(将LAN2口做为管理口,用于管理设备)
2、“系统”→“系统工具”→“IP工具”,直接ping网关192.168.228.254检验与内网的连通性。
3、“系统”→“管理设置”→“管理界面访问设定”,网口选择LAN2,其余选项缺省,点击添加。
参数定义:
网口:
wan设定、admin等端口
源IP或网络:
某个固定IP地址或者网段是否能访问这些协议和网段。
备注:
描述该规则用处。
注意:
此项规则用于是否允许某个IP或者网段登录到管理界面
4、“现有规则”中新增一条通过LAN2访问IDS界面的策略。
5、“系统”→“管理设置”→“密码”,按下图配置管理员用户,不启用USBKEY。
下面就出现了一个超级管理员用户
6、可以增加低权限的用户,即是只允许浏览IDS,不允许进行操作,如下图所示:
下面就出现了一个新用户king,只有“查看日志”“实时报表”的权限
7、“系统”→“管理设置”→“用户安全设置”,以下配置是一种相对安全的配置方法。
参数定义:
登陆超时时间设置(秒):
就是超过这个时间将会锁定
登陆失败限制次数:
就是登陆超过限制次数,将会将用户锁定
用户锁定时间(分):
将用户锁定多长时间,等过了这个时间后才可以重新登陆
密码最小长度:
当密码长度不够时将不能建此用户
开启密码强度限制(强制为数字与字符组合):
输入密码时一定要提高密码的强度要数字+字符
以下为验证的结果:
当密码长度不够时将出现提示,不能建立新用户。
输入密码时一定要提高密码的强度,需要数字+字符。
登陆超过限制次数,系统会将用户锁定,1分钟后用户才能重新登陆。
8、“网络设置”→“镜像口设置”→“镜像设定”将LAN4口配置为镜像口,用于接收经过交换机的信息
下面“现有规则”中出现了一条镜像规则
注意:
以下实验镜像模式下均采用此配置
【实验总结】
本实验介绍了IDS设备的部署和配置,通过学习在镜像口监听模式下的IDS部署方式,了解IDS初始化配置及安全管理相关知识。
升级会员 