實驗十三IDS設備部署與配置

1、實驗十三 IDS設備部署與配置【實驗名稱】 IDS設備部署與配置【計劃學時】2學時【實驗目的】1. 熟悉IDS設備的部署方式2. 掌握設備的連接和簡單設置【基本原理】一、IDS的4種部署方式1 鏡像口監(jiān)聽鏡像口監(jiān)聽部署模式是最簡單方便的一種部署方式，不會影響原有網(wǎng)絡拓撲結構。在這種部署方式中，把NIDS設備連接到交換機鏡像口網(wǎng)絡后，只需對入侵檢測規(guī)則進行勾選啟動，無需對自帶的防火墻進行設置，無需另外安裝專門的服務器和客戶端管理軟件，用戶使用普通的Web瀏覽器即可實現(xiàn)對NIDS的管理（包括規(guī)則配置、日志查詢、統(tǒng)計分析等），大大降低了部署成本和安裝使用難度，增加了部署靈活性。部署方式如下圖所示：2

2、 NAT模式（可充當防火墻）NAT模式是將藍盾NIDS設備作為防護型網(wǎng)關部署在網(wǎng)絡出口位置，適合于沒有防火墻等防護設備的網(wǎng)絡。在這種部署方式中，藍盾NIDS設備可同時作為防火墻設備、防DDoS攻擊網(wǎng)關使用，可有效利用內置的防火墻進行有效入侵防御聯(lián)動。NAT部署采取串聯(lián)方式部署在主交換機前面，需要對網(wǎng)絡拓撲結構進行改造，需要對藍盾NIDS設備的自帶防火墻進行規(guī)則設置及內外線連接設置，以達到多重防御的效果。用戶通過Web瀏覽器可實現(xiàn)對NIDS的全面管理（包括規(guī)則配置、日志查詢、統(tǒng)計分析等）。部署方式如下圖所示：3 透明橋模式透明橋模式是將藍盾NIDS設備作為透明設備串接在網(wǎng)絡中。這樣既可以有效利用

3、到藍盾NIDS的各項功能，也可以不必改變原有網(wǎng)絡拓撲結構。在這種部署方式中，藍盾NIDS設備可同時作為防火墻設備、防DDoS攻擊網(wǎng)關使用，可以利用內置的防火墻進行有效入侵防御聯(lián)動。用戶通過Web瀏覽器可實現(xiàn)對NIDS的全面管理（包括規(guī)則配置、日志查詢、統(tǒng)計分析等）。通?？梢酝该鞣绞讲渴鹪贒MZ區(qū)域，可將NIDS作為第二道防護網(wǎng)保護服務組群。部署方式如下圖所示：4 混合模式混合模式是應用以上三種模式的任意組合將藍盾NIDS設備部署在較復雜網(wǎng)絡。例如，可以通過一個網(wǎng)口監(jiān)聽某個工作區(qū)域子網(wǎng)，通過一對網(wǎng)口透明部署在DMZ區(qū)域，一對網(wǎng)口作為NAT防火墻保護另一個重點工作區(qū)域，同時對多個網(wǎng)絡區(qū)域進行保護。

4、用戶通過Web瀏覽器可實現(xiàn)對NIDS的全面管理（包括規(guī)則配置、日志查詢、統(tǒng)計分析等）。部署方式如下圖所示：二 連接及設置1 連接設備下圖以鏡像口監(jiān)聽模式為例，顯示如何連接藍盾NIDS設備。2 網(wǎng)口出廠配置藍盾NIDS設備提供的以太網(wǎng)接口主要有兩種類型：管理口和業(yè)務口。管理口的以太網(wǎng)接口有IP地址（出廠設置為45），供設備管理流量和其它告警上報流量通過。連接到設備管理口的所有管理終端計算機組成的網(wǎng)絡稱為“管理網(wǎng)絡”。用戶通過管理網(wǎng)絡內的終端計算機可以訪問設備管理口，對系統(tǒng)進行管理和配置。業(yè)務口可配置為鏡像口監(jiān)聽模式、透明橋模式、網(wǎng)關NAT模式或者混雜模式。業(yè)務口主要用于捕獲

5、網(wǎng)絡協(xié)議報文進行檢測分析，是入侵檢測系統(tǒng)“業(yè)務”的來源。3各網(wǎng)口的出廠設置如下：網(wǎng)口編號出廠配置IP地址備注LAN1(E1)管理網(wǎng)口45電口LAN2(E2)業(yè)務口（監(jiān)聽模式）無電口，可配置為NAT、透明橋模式LAN3(E3)業(yè)務口（監(jiān)聽模式）無電口，可配置為NAT、透明橋模式LAN4(E4)業(yè)務口（監(jiān)聽模式）無電口，可配置為NAT、透明橋模式除了默認管理LAN1網(wǎng)口外，其余網(wǎng)口的設置均可在界面進行重新配置。例如，用戶可以將LAN3、LAN4網(wǎng)口配置為透明橋。4 登錄管理界面從管理PC登錄藍盾NIDS設備Web管理界面前，需要確認管理PC的IP地址與設備缺省管理口IP地址設

6、置在同一網(wǎng)段：/24。透過網(wǎng)線或獨立交換機（非業(yè)務交換機）將管理PC連接到LAN1口，打開IE瀏覽器，在IE地址欄輸入45 ,便可登錄到藍盾NIDS設備的web管理界面。初始用戶名為“admin”，密碼為“888888”。登錄后出現(xiàn)主界面如圖所示：注意：藍盾NIDS設備前面板上標志為LAN1的以太網(wǎng)口為系統(tǒng)缺省管理口，缺省IP地址45。如此默認IP地址與用戶網(wǎng)絡IP地址無沖突，建議用戶使用此默認IP地址。如果確實有需要更改管理口IP地址，則在下次啟動時需要使用更改后的IP地址登錄?；谙到y(tǒng)安全考慮，管理系統(tǒng)同一時間

7、內只允許1個同名的用戶登錄。用戶可設置多個用戶帳號，為不同用戶分配不同操作權限進行管理5、網(wǎng)絡配置前的準備出廠配置已經(jīng)有定義好的管理口、監(jiān)聽口。建議盡量使用出廠配置模式。如果出廠配置不滿足實際網(wǎng)絡需求，才進行合理調整。網(wǎng)絡配置前，請先確定網(wǎng)絡的拓撲結構和連接方式(旁路、透明、NAT、混合)，并定義好使用的網(wǎng)口，以免配置過程中造成混亂。如需要添加橋或NAT的外線接口，首先需要刪除默認選項的監(jiān)聽網(wǎng)口。例如，刪除LAN3、LAN4鏡像口，釋放網(wǎng)口LAN3、LAN4。否則在透明橋接口或者NAT網(wǎng)口選項中沒有網(wǎng)口可供使用?！緦嶒炌負洹恳早R像口監(jiān)聽的部署方式來進行實驗配置?！緦嶒灢襟E】一、 IDS的初始配

8、置。1、 “網(wǎng)絡設置”à“網(wǎng)口配置”à“網(wǎng)口”，將E2的LAN2的IP配置為27，點擊保存，然后重啟網(wǎng)絡。（將LAN2口做為管理口，用于管理設備）2、“系統(tǒng)”à“系統(tǒng)工具”à“IP工具”，直接ping 網(wǎng)關54檢驗與內網(wǎng)的連通性。3、“系統(tǒng)”à“管理設置”à“管理界面訪問設定”，網(wǎng)口選擇LAN2，其余選項缺省，點擊添加。參數(shù)定義：網(wǎng)口：wan設定、admin等端口源IP或網(wǎng)絡：某個固定IP地址或者網(wǎng)段是否能訪問這些協(xié)議和網(wǎng)段。備注：描述該規(guī)則用處。注意：此項規(guī)則用于是否允許某個IP或

9、者網(wǎng)段登錄到管理界面4、“現(xiàn)有規(guī)則”中新增一條通過LAN2訪問IDS界面的策略。5、“系統(tǒng)”à“管理設置”à“密碼”，按下圖配置管理員用戶，不啟用USBKEY。 下面就出現(xiàn)了一個超級管理員用戶6、可以增加低權限的用戶，即是只允許瀏覽IDS，不允許進行操作，如下圖所示：下面就出現(xiàn)了一個新用戶king，只有“查看日志”“實時報表”的權限7、“系統(tǒng)”à“管理設置”à“用戶安全設置”，以下配置是一種相對安全的配置方法。參數(shù)定義：登陸超時時間設置(秒)：就是超過這個時間將會鎖定登陸失敗限制次數(shù)：就是登陸超過限制次數(shù)，將會將用戶鎖定用戶鎖定時間(分)：將用戶鎖定多長時間，等過了這個時間后才可以重新登陸密碼最小長度：當密碼長度不夠時將不能建此用戶開啟密碼強度限制(強制為數(shù)字與字符組合)：輸入密碼時一定要提高密碼的強度要數(shù)字+字符以下為驗證的結果：當密碼長度不夠時將出現(xiàn)提示，不能建立新用戶。 輸入密碼時一定要提高密碼的強度，需要數(shù)字+字符。登陸超過限制次數(shù)，系統(tǒng)會將用戶鎖定，1分鐘后用戶才能重新登陸。8、 “網(wǎng)絡設置”&