啟明星辰入侵檢測設備配置文檔

1、啟明星辰入侵檢測設備配置說明天闐NT600-TC-BRP第1章 設備概述與工作流程介紹1.1設備概述入侵檢測設備是一個典型的"窺探設備"。它不跨接多個物理網段（通常只有一個監(jiān)聽端口），無須轉發(fā)任何流量，而只需要在網絡上被動的、無聲息的收集它所關心的報文即可。對收集來的報文，入侵檢測設備提取相應的流量統(tǒng)計特征值，并利用內置的入侵知識庫，與這些流量特征進行智能分析比較匹配。根據(jù)預設的閥值，匹配耦合度較高的報文流量將被認為是進攻，入侵檢測系統(tǒng)將根據(jù)相應的配置進行報警或進行有限度的反擊。不同于防火墻，IDS入侵檢測設備是一個監(jiān)聽設備，沒有跨接在任何鏈路上，無須網絡流量流經它便可以工

2、作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。典型拓撲：1.2 IDS工作流程介紹入侵檢測系統(tǒng)的工作流程大致分為以下幾個步驟：1.信息收集 入侵檢測的第一步是信息收集，內容包括網絡流量的內容、用戶連接活動的狀態(tài)和行為。2.信號分析 對上述收集到的信息，一般通過三種技術手段進行分析：模式匹配，統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。具體的技術形式如下所述：1).模式匹配，模式匹配就是將收集到的信息與已知的網絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。2).統(tǒng)計分析，分析方法首先給信息對象（

3、如用戶、連接、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時等）。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較，任何觀察值在正常偏差之外時，就認為有入侵發(fā)生。3).完整性分析，完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性，它在發(fā)現(xiàn)被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數(shù)（例如MD5），能識別及其微小的變化。第2章 啟明星辰入侵檢測設備的安裝介紹2.1產品外觀 從左到右分別是：管理口，USB口，1-5業(yè)務口2.2安裝與配置步驟產品安裝與部署步驟包括：控制中心安裝

4、和引擎安裝部署?？刂浦行男枰惭b在一臺PC上，即需要為IDS入侵檢測設備配置一臺專門的工作站。這里提到的引擎就是指入侵檢測設備?？刂浦行牡陌惭b步驟1） 準備一臺工作站，安裝上win server操作系統(tǒng)，可以是Windows Server 2008 R2 Standard 64 位或者是Windows Server 2012 R2 standard 64 位，（現(xiàn)場測試時，Win7 64位操作系統(tǒng)不能通過HTTP方式配置引擎）；2）SQL server數(shù)據(jù)庫安裝：在隨機附帶的安裝光盤中有SQL server數(shù)據(jù)庫安裝包，具體步驟如下：雙擊“SQL Server 2008 Express.exe

5、” ，等待一會，進入 SQL Server 安裝中心界面：點擊“安裝”，選擇“全新 SQL Server 獨立安裝或向現(xiàn)有安裝添加功能”一項：點擊“確定”進入產品密鑰界面：點擊“下一步”按鈕 ，進入許可條款界面，勾選“我接受許可條款（A） ”：點擊“安裝”按鈕：選擇所要安裝的功能以及共享功能目錄后，點擊“下一步”按鈕，進入實例配置界面：選擇默認實例后，點擊下一步：配置好賬號密碼： （如有疑問，參考附件中天闐入侵檢測與管理系統(tǒng)V7040用戶安裝手冊25-29業(yè)步驟）選擇混合模式，并添加管理員，點擊下一步：點擊下一步，然后選擇安裝，安裝完成后選擇關閉即可：需要注意的是：數(shù)據(jù)庫管理軟件安裝完成后打開

6、程序Microsoft SQL Server 2008 > 配置工具 > Sql Server配置管理器 > SQL Server Configuration Manager > SQL Server 2008網絡配置> SQLEXPRESS的協(xié)議中的TCP/IP狀態(tài)為已啟用，如果是禁用狀態(tài)，請將該狀態(tài)改為已啟用，并且修改TCP端口為8080，然后在SQL Server 2008服務> 選擇SQL Server (MSSQLSERVER) > 右鍵選擇重新啟動數(shù)據(jù)庫安裝完成并重啟服務后查看打開控制面板 > 性能維護 > 管理工具 >

7、服務， 查看SQL Server(MSSQLSERVER)服務，點擊到登陸頁面查看登陸身份是否為本地系統(tǒng)如果不是請調整到本地服務。3）天闐入侵檢測與管理系統(tǒng)V7.0安裝點擊運行“天闐入侵檢測與管理系統(tǒng).exe”，安裝提示點擊下一步，選擇好安裝目錄，點擊安裝即可。其中需要配置業(yè)務數(shù)據(jù)導入工具，然后點擊導入：導入完成后，進行數(shù)據(jù)庫配置和服務端口配置：點擊確定，彈出“配置修改成功”，等待全部安裝完成后，重啟計算機。引擎安裝配置步驟1）將工作站與IDS入侵檢測設備的管理口相連，管理口的默認IP地址是：00，用戶名密碼分別是：adm/venus70，用http方式登錄到引擎中。（現(xiàn)

8、場使用IE瀏覽器無法顯示頁面內容，更換成谷歌瀏覽器之后可以正常顯示）2）登錄成功之后，選擇常用配置 ->組件管理 ->引擎配置 ->點擊“新建”按鈕，添加引擎：3）事件庫更新：從官網下載最新的對應型號設備的事件庫文件，進行更新。4）策略定制和下發(fā)：在常用配置 -> 策略管理 -> 策略集 -> 點擊“新建”：選擇需要的事件進行提交：提交完成后，在組件管理 -> 組件狀態(tài)管理 -> 選擇需要應用到的網絡引擎，進行策略下發(fā)和應用。2.2.3 業(yè)務配置選擇其中一個業(yè)務口，將其接入所要檢測的網絡中，一般是接入到交換機中，布線完成后，需要在交換機上做鏡像口配置，用于統(tǒng)計監(jiān)視各端口網絡流量。不同型號的交換機配置命令不同，詳細信息參考附件中天闐入侵檢測與管理系統(tǒng)V7040用