第20課 IDS安裝及基本配置

1、工作任務(wù)19:IDS安裝及基本配置學(xué)習(xí)目標(biāo)掌握IDS工作原理掌握IDS安裝流程及要點(diǎn)掌握IDS基本配置 入侵檢測(cè)系統(tǒng)安裝學(xué)習(xí)目標(biāo)：硬件安裝：了解入侵檢測(cè)系統(tǒng)與不同網(wǎng)絡(luò)設(shè)備 的連接軟件安裝：了解入侵檢測(cè)系統(tǒng)安裝以及在網(wǎng)絡(luò) 環(huán)境下配置IDS引擎入侵檢測(cè)系統(tǒng)安裝 硬件安裝：入侵檢測(cè)系統(tǒng)接入方式之交換機(jī)注意事項(xiàng)：鏡像多個(gè)源端口可能導(dǎo)致鏡像端口丟包應(yīng)對(duì)收發(fā)端口同時(shí)進(jìn)行鏡像入侵檢測(cè)系統(tǒng)安裝硬件安裝：入侵檢測(cè)系統(tǒng)接入方式之HUB注意事項(xiàng)：對(duì)于交換式HUB來說和交換機(jī)連接方法類似直通線交叉線串口線接COM口PCSwich、Hub管理機(jī)硬件安裝：入侵檢測(cè)系統(tǒng)連線入侵檢測(cè)系統(tǒng)安裝入侵檢測(cè)系統(tǒng)安裝軟件安裝：第一步入

2、侵檢測(cè)系統(tǒng)安裝軟件安裝：第二步入侵檢測(cè)系統(tǒng)安裝軟件安裝：第三步入侵檢測(cè)系統(tǒng)安裝軟件安裝：第四步入侵檢測(cè)系統(tǒng)安裝軟件安裝：第五步入侵檢測(cè)系統(tǒng)安裝軟件安裝：第六步入侵檢測(cè)系統(tǒng)安裝軟件安裝：登陸設(shè)置入侵檢測(cè)系統(tǒng)安裝軟件安裝：在引擎中添加，刪除，編輯引擎信息 入侵檢測(cè)系統(tǒng)安裝軟件安裝：引擎添加 軟件安裝：引擎組添加 入侵檢測(cè)系統(tǒng)安裝入侵檢測(cè)系統(tǒng)安裝軟件安裝：管理員賬戶添加 入侵檢測(cè)系統(tǒng)安裝軟件安裝：被監(jiān)控的服務(wù)器添加入侵檢測(cè)系統(tǒng)安裝軟件安裝：環(huán)境設(shè)置常規(guī)入侵檢測(cè)系統(tǒng)安裝軟件安裝：環(huán)境設(shè)置響應(yīng)入侵檢測(cè)系統(tǒng)安裝軟件安裝：環(huán)境設(shè)置周期設(shè)置入侵檢測(cè)系統(tǒng)安裝軟件安裝：環(huán)境設(shè)置存活檢查間隔入侵檢測(cè)系統(tǒng)安裝軟件安裝

3、：環(huán)境設(shè)置日志顏色入侵檢測(cè)系統(tǒng)安裝軟件安裝：環(huán)境設(shè)置備份策略 議程入侵檢測(cè)系統(tǒng)安裝入侵檢測(cè)系統(tǒng)基本配置入侵檢測(cè)系統(tǒng)高級(jí)配置基本配置本章內(nèi)容：服務(wù)管理管理員帳戶查看入侵檢測(cè)日志查看監(jiān)控日志查看郵件監(jiān)控日志查看Messenger日志查看文件傳輸日志入侵檢測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)流量統(tǒng)計(jì)實(shí)時(shí)監(jiān)控會(huì)話監(jiān)控服務(wù)管理 按照如圖所示的方法進(jìn)入服務(wù)管理界面。網(wǎng)絡(luò)衛(wèi)士入侵檢測(cè)系統(tǒng)入侵日志處理器（NGIDSIdLog）：服務(wù)運(yùn)行時(shí)將自動(dòng)從引擎接收入侵日志。 網(wǎng)絡(luò)衛(wèi)士入侵檢測(cè)系統(tǒng)網(wǎng)絡(luò)流量處理器（NGIDSNwStat）：服務(wù)運(yùn)行時(shí)將自動(dòng)從引擎接收流量日志。 管理員帳戶 按照如圖所示的方法進(jìn)入管理員帳戶界面。管理員帳戶分為只讀管理

4、員、普通管理員和超級(jí)管理員三種，其中只讀管理員和普通管理員不能設(shè)置、修改其他帳戶。超級(jí)管理員可以擁有所有權(quán)限。管理員帳戶 點(diǎn)擊”添加”按鈕，添加新的管理員帳戶。管理員帳戶 名稱: 輸入帳戶名。 用戶類型: 選擇用戶類型。分為超級(jí)管理員,普通管理員,只讀管理員三種。- 超級(jí)管理員: 具有超級(jí)權(quán)限，可以進(jìn)行任何操作。- 普通管理員: 可以對(duì)授權(quán)的引擎進(jìn)行查詢、配置、編輯操作。- 只讀管理員: 只能對(duì)授權(quán)引擎進(jìn)行日志查詢操作。 口令、確認(rèn)口令: 輸入用戶口令。 允許引擎: 只有具有超級(jí)權(quán)限的管理員才能添加其他帳戶。: 并且可以為每個(gè)用戶指定授權(quán)引擎。: 如果以只讀管理員、普通管理員權(quán)限登錄，只能訪問

5、、管理授權(quán)的引擎。位置: 為了便于管理，輸入管理員部門等相關(guān)信息。 郵件: 輸入管理員的郵件地址。此信息用于進(jìn)行郵件報(bào)警響應(yīng)。因此需要輸入實(shí)際存在的管理員郵件地址。 電話: 輸入管理員的電話。手機(jī): 輸入管理員的手機(jī)號(hào)碼。此信息用于進(jìn)行手機(jī)短消息報(bào)警。因此如果需要進(jìn)行手機(jī)短消息報(bào)警，添加管理員的真實(shí)手機(jī)號(hào)碼。 呼機(jī): 為了便于管理輸入管理員的呼機(jī)號(hào)碼。 傳真: 為了便于管理輸入管理員的傳真號(hào)碼。 查看入侵檢測(cè)日志 點(diǎn)擊圖中紅色標(biāo)記位置，實(shí)時(shí)顯示引擎檢測(cè)到的事件。實(shí)時(shí)事件窗口只能顯示環(huán)境設(shè)置的日志窗口頁大小中指定數(shù)量的事件。查看入侵檢測(cè)日志 通過雙擊歷史事件中的特定事件，可以查看關(guān)于該事件的詳細(xì)

6、內(nèi)容。 查看監(jiān)控日志通過點(diǎn)擊圖中所示位置，可以查看監(jiān)控日志。 查看郵件監(jiān)控日志 點(diǎn)擊圖中紅色標(biāo)記位置，顯示POP3, SMTP,IMAP,Web Mail等郵件監(jiān)控相關(guān)日志。查看郵件監(jiān)控日志 通過雙擊特定事件，可以查看詳細(xì)內(nèi)容。查看Messenger日志點(diǎn)擊圖中紅色標(biāo)記位置，顯示Messenger監(jiān)控(MSN), Messenger文件傳輸監(jiān)控(MSN)相關(guān)日志。 查看Messenger日志通過雙擊可以查看關(guān)于該事件的詳細(xì)說明。 查看文件傳輸日志點(diǎn)擊圖中紅色標(biāo)記位置，顯示通過FTP傳輸文件的日志。 入侵檢測(cè)統(tǒng)計(jì)點(diǎn)擊圖中紅色標(biāo)記位置，顯示入侵檢測(cè)統(tǒng)計(jì)，按風(fēng)險(xiǎn)級(jí)別、規(guī)則組顯示入侵檢測(cè)日志統(tǒng)計(jì)。 網(wǎng)絡(luò)流量統(tǒng)計(jì)點(diǎn)擊圖中紅色標(biāo)記位置，進(jìn)入網(wǎng)絡(luò)流量統(tǒng)計(jì)界面。流量統(tǒng)計(jì)分為web流量統(tǒng)計(jì)、網(wǎng)絡(luò)流量統(tǒng)計(jì)、入侵流量統(tǒng)計(jì)、實(shí)時(shí)流量統(tǒng)計(jì)等。 實(shí)時(shí)監(jiān)控點(diǎn)擊圖中紅色標(biāo)記位置，顯示實(shí)時(shí)監(jiān)控。實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控引擎的狀態(tài)，包