天闐入侵檢測系統(tǒng)使用維護

1、天闐天闐6.0入侵檢測系統(tǒng)使用入侵檢測系統(tǒng)使用維護維護 網(wǎng)絡入侵檢測系統(tǒng)常用功能網(wǎng)絡入侵檢測系統(tǒng)常用功能 網(wǎng)絡入侵檢測系統(tǒng)高級功能網(wǎng)絡入侵檢測系統(tǒng)高級功能 網(wǎng)絡入侵檢測系統(tǒng)日常維護網(wǎng)絡入侵檢測系統(tǒng)日常維護常用功能常用功能查看事件查看事件策略基本操作策略基本操作報表輸出報表輸出數(shù)據(jù)庫維護數(shù)據(jù)庫維護更新升級更新升級查看事件查看事件查看報警事件查看報警事件添加窗口添加窗口系統(tǒng)設置系統(tǒng)設置樹型窗口樹型窗口策略基本操作策略基本操作策略衍生策略衍生策略集操作策略集操作策略向導策略向導策略導入導出策略導入導出策略基本操作策略基本操作編輯策略編輯策略策略基本操作策略基本操作策略下發(fā)策略下發(fā)報表輸出報表輸出管理

2、統(tǒng)計分析報表管理統(tǒng)計分析報表 目標對象是管理人員目標對象是管理人員 周期性統(tǒng)計報表類型模板周期性統(tǒng)計報表類型模板 使用水晶報表，支持使用水晶報表，支持PDF、RPT、EXCEL、WORD、XML、RICH TEXT、文本文件等多種導出格式、文本文件等多種導出格式報表輸出報表輸出詳細日志分析報表詳細日志分析報表 目標對象是入侵檢測分析人員目標對象是入侵檢測分析人員 提供多種缺省模板和方案文件提供多種缺省模板和方案文件 強大的條件過濾功能強大的條件過濾功能數(shù)據(jù)庫維護數(shù)據(jù)庫維護自動維護和手動維護自動維護和手動維護支持支持MSDE、SQL Server和其他以和其他以ODBC連接的數(shù)據(jù)庫連接的數(shù)據(jù)庫數(shù)

3、據(jù)庫維護數(shù)據(jù)庫維護 自動備份自動備份日志新增條數(shù)日志新增條數(shù) 自動維護自動維護數(shù)據(jù)庫維護數(shù)據(jù)庫維護 設定手動維護條件，設定手動維護條件，然后手動完成數(shù)據(jù)庫然后手動完成數(shù)據(jù)庫維護工作維護工作 手動刪除、手動備份手動刪除、手動備份 數(shù)據(jù)庫摘要數(shù)據(jù)庫摘要手動維護手動維護數(shù)據(jù)庫維護數(shù)據(jù)庫維護ACCESS數(shù)據(jù)庫數(shù)據(jù)庫 SQL數(shù)據(jù)庫數(shù)據(jù)庫導入數(shù)據(jù)導入數(shù)據(jù)更新升級更新升級產(chǎn)品升級產(chǎn)品升級 引擎升級：引擎升級： 控制中心下發(fā)控制中心下發(fā) USB升級升級 軟件升級軟件升級：升級管理中心升級管理中心網(wǎng)站下載網(wǎng)站下載更新升級更新升級事件庫升級事件庫升級(每周每周5下午更新事件庫下午更新事件庫)自動（需要能連接上互聯(lián)

4、網(wǎng)）自動（需要能連接上互聯(lián)網(wǎng)）手動手動 網(wǎng)絡入侵檢測系統(tǒng)常用功能網(wǎng)絡入侵檢測系統(tǒng)常用功能 網(wǎng)絡入侵檢測系統(tǒng)高級功能網(wǎng)絡入侵檢測系統(tǒng)高級功能 網(wǎng)絡入侵檢測系統(tǒng)日常維護網(wǎng)絡入侵檢測系統(tǒng)日常維護高級功能高級功能多級管理多級管理響應方式響應方式過濾條件過濾條件事件合并事件合并事件自定義事件自定義動態(tài)策略動態(tài)策略多級管理多級管理主控設置主控設置 添加子控添加子控 下發(fā)策略、升級文件下發(fā)策略、升級文件 設置要求上報內容設置要求上報內容多級管理多級管理子控設置子控設置 允許上級連接允許上級連接 允許接受的管理允許接受的管理響應方式響應方式響應方式分類響應方式分類 被動被動 主動主動響應方式響應方式響應方式的

5、設置響應方式的設置 防火墻聯(lián)動防火墻聯(lián)動 全局預警全局預警 SNMPSNMP 遠程報警遠程報警響應方式響應方式 菜單菜單組件管理組件管理聯(lián)動設置聯(lián)動設置 4種聯(lián)動協(xié)議種聯(lián)動協(xié)議防火墻聯(lián)動防火墻聯(lián)動響應方式響應方式 菜單菜單分級管理分級管理全局預警全局預警 一點發(fā)生，全網(wǎng)預警一點發(fā)生，全網(wǎng)預警 用戶自定義信息用戶自定義信息全局預警全局預警響應方式響應方式 菜單菜單系統(tǒng)設置系統(tǒng)設置SNMP Trap設置設置 利用利用SNMP配置與港灣交換機聯(lián)動配置與港灣交換機聯(lián)動SNMP過濾條件過濾條件IP過濾和過濾和MAC過濾過濾應用到事件應用到事件保存下發(fā)策略保存下發(fā)策略設置設置1 1 策略任務策略任務-入侵

6、檢測入侵檢測-合并設置合并設置 設置合并次數(shù)設置合并次數(shù)/ /合并周期合并周期合并方式合并方式設置設置2 2 策略編輯策略編輯-選擇事件選擇事件-合并方式合并方式 1414種合并方式種合并方式合并方式合并方式事件自定義事件自定義 基于數(shù)據(jù)基于數(shù)據(jù)/特征模式的網(wǎng)絡事件特征模式的網(wǎng)絡事件 網(wǎng)絡流量中存在著可匹配規(guī)則的一類事件網(wǎng)絡流量中存在著可匹配規(guī)則的一類事件 通過匹配特征可以分析出具有某些攻擊的行為。通過匹配特征可以分析出具有某些攻擊的行為。網(wǎng)絡特征事件網(wǎng)絡特征事件事件自定義事件自定義 基于統(tǒng)計的行為分析網(wǎng)絡事件基于統(tǒng)計的行為分析網(wǎng)絡事件 在網(wǎng)絡特征事件的基礎上進行綜合的統(tǒng)計、分析在網(wǎng)絡特征事件

7、的基礎上進行綜合的統(tǒng)計、分析 通過匹配特征可以分析出具有某些攻擊的行為。通過匹配特征可以分析出具有某些攻擊的行為。行為關聯(lián)事件行為關聯(lián)事件變量關系變量關系關系符關系符 描述描述 ！表示不等于表示不等于表示大于關系表示大于關系表示包含關系表示包含關系變量定義變量定義 常用變量定義常用變量定義源地址源地址:ip_sip目的地址目的地址:ip_dip源端口源端口:tcp_sport目的端口目的端口:tcp_dport動態(tài)策略動態(tài)策略新建方案新建方案添加規(guī)則添加規(guī)則 響應方式響應方式 過濾條件過濾條件 合并方式合并方式高級功能高級功能多級管理多級管理響應方式響應方式過濾條件過濾條件事件合并事件合并事件

8、自定義事件自定義動態(tài)策略動態(tài)策略 網(wǎng)絡入侵檢測系統(tǒng)常用功能網(wǎng)絡入侵檢測系統(tǒng)常用功能 網(wǎng)絡入侵檢測系統(tǒng)高級功能網(wǎng)絡入侵檢測系統(tǒng)高級功能 網(wǎng)絡入侵檢測系統(tǒng)日常維護網(wǎng)絡入侵檢測系統(tǒng)日常維護日常工作建議日常工作建議每日查看天闐控制臺工作是否啟動或是每日查看天闐控制臺工作是否啟動或是否工作正常。否工作正常。每日查看控制臺連接引擎是否正常每日查看控制臺連接引擎是否正常每日早晚各一次查看報警信息。每日早晚各一次查看報警信息。對可疑事件進行及時分析。對可疑事件進行及時分析。及時調整并下發(fā)天闐工作策略。及時調整并下發(fā)天闐工作策略。根據(jù)情況及時上報事件。根據(jù)情況及時上報事件。日常維護建議日常維護建議至少每周進行一

9、次天闐事件庫更新。至少每周進行一次天闐事件庫更新。注意啟明星辰網(wǎng)站對天闐事件庫的更新注意啟明星辰網(wǎng)站對天闐事件庫的更新或從售后服務部門獲取?；驈氖酆蠓詹块T獲取。注意天闐控制中心和引擎的升級包。注意天闐控制中心和引擎的升級包。定期查看日志數(shù)據(jù)庫大小及進行數(shù)據(jù)庫定期查看日志數(shù)據(jù)庫大小及進行數(shù)據(jù)庫維護。維護。 網(wǎng)絡入侵檢測系統(tǒng)常用功能網(wǎng)絡入侵檢測系統(tǒng)常用功能 網(wǎng)絡入侵檢測系統(tǒng)高級功能網(wǎng)絡入侵檢測系統(tǒng)高級功能 網(wǎng)絡入侵檢測系統(tǒng)日常維護網(wǎng)絡入侵檢測系統(tǒng)日常維護總結總結問題？問題？天闐天闐6.0系統(tǒng)常見問題處理系統(tǒng)常見問題處理 天闐天闐6.0常見問題處理常見問題處理TCP 20001：此端口是用來傳輸數(shù)

10、據(jù)的，如策略：此端口是用來傳輸數(shù)據(jù)的，如策略/文件的下文件的下發(fā)、日志的上傳；此端口是用來和控制中心建立連接及認發(fā)、日志的上傳；此端口是用來和控制中心建立連接及認證的。證的。方向為控制中心到探測引擎的主動連接。方向為控制中心到探測引擎的主動連接。TCP 50000：此端口是用來向上級控制中心或各組：此端口是用來向上級控制中心或各組件傳輸數(shù)據(jù)的，如策略件傳輸數(shù)據(jù)的，如策略/文件的下發(fā)、日志的上傳、文件的下發(fā)、日志的上傳、顯示中心和上級控制中心建立連接及進行認證。顯示中心和上級控制中心建立連接及進行認證。方向為各組件和子控制中心到總控制中心的主動連方向為各組件和子控制中心到總控制中心的主動連接。接

11、。探測引擎端口：探測引擎端口：控制中心：控制中心：天闐天闐6.0常見問題處理常見問題處理如何確認天闐安裝完全如何確認天闐安裝完全控制中心，檢查控制中心，檢查snmp是否正確安裝是否正確安裝添加組件，看下拉列表。添加組件，看下拉列表。打開管理報表，看水晶報表打開管理報表，看水晶報表打開服務，查看打開服務，查看datatransfer（數(shù)據(jù)傳（數(shù)據(jù)傳輸）、輸）、venusautostorage（管理報表）（管理報表）天闐天闐6.0常見問題處理常見問題處理探測引擎與控制中心連接不上探測引擎與控制中心連接不上網(wǎng)絡物理連接是否正常；網(wǎng)絡物理連接是否正常；網(wǎng)絡層是否可以進行通信；網(wǎng)絡層是否可以進行通信；是

12、否有不正常的關機行為發(fā)生；是否有不正常的關機行為發(fā)生；是否更換了控制臺或地址；是否更換了控制臺或地址；兩者是否同在一個網(wǎng)絡、若不則查看網(wǎng)關；兩者是否同在一個網(wǎng)絡、若不則查看網(wǎng)關；控制臺參數(shù)設置是否有問題；控制臺參數(shù)設置是否有問題；防火墻是否進行了阻斷；防火墻是否進行了阻斷； 認證是否發(fā)生了問題；認證是否發(fā)生了問題；使用串口查看引擎設置參數(shù)是否正確；使用串口查看引擎設置參數(shù)是否正確；使用維護工具查看引擎工作是否正常；使用維護工具查看引擎工作是否正常；初始化引擎；初始化引擎；天闐天闐6.0常見問題處理常見問題處理控制中心無報警信息控制中心無報警信息控制臺和引擎連接是不是正常；控制臺和引擎連接是不是

13、正常；網(wǎng)絡上是不是有數(shù)據(jù)通信；網(wǎng)絡上是不是有數(shù)據(jù)通信；探測引擎是否和交換機或集線器連接；探測引擎是否和交換機或集線器連接；交換機是否進行過鏡像配置，配置是否進交換機是否進行過鏡像配置，配置是否進行過保存；行過保存；防火墻是否進行了阻斷；防火墻是否進行了阻斷；天闐天闐6.0常見問題處理常見問題處理主控與子控連接不上主控與子控連接不上參照以上內容；參照以上內容；子控子控IP 地址為控制臺地址為控制臺IP地址；地址；主、子控主、子控 IP地址是否改變；地址是否改變；廣域網(wǎng)通信是否正常；廣域網(wǎng)通信是否正常；兩地防火墻是否進行了阻斷；兩地防火墻是否進行了阻斷；主控與子控制參數(shù)配置是否匹配；主控與子控制參

14、數(shù)配置是否匹配；天闐天闐6.0常見問題處理常見問題處理如何確定控制中心與探測引擎通信正如何確定控制中心與探測引擎通信正常常在控制中心使用在控制中心使用ping 命令后，命令后，使用使用 arp a 命令。若出現(xiàn)探測引擎命令。若出現(xiàn)探測引擎IP 并其并其MAC地址，則說明控制中心與探測引擎通地址，則說明控制中心與探測引擎通信沒問題。信沒問題。若控制中心與探測引擎中間有路由器存在，若控制中心與探測引擎中間有路由器存在，可以使用以下命令：可以使用以下命令：telnet 22。（需要先在探測引擎打開該端口）。（需要先在探測引擎打開該端口） 。若連接不被切斷有信息返回說明控制中心若連接不被切斷有信息返回說明控制中心與探測引擎通信沒問題。與探測引擎通信沒問題。 天闐天闐6.0常見問題處理常見問題處理使用超級終端配置探測引擎時，無任何信息使用超