3-3-02《信息安全產(chǎn)品配置與應(yīng)用》課程-入侵檢測篇-ID課件

1、云安全產(chǎn)品配置與應(yīng)用之入侵檢測篇產(chǎn)品配置與實踐云安全產(chǎn)品配置與應(yīng)用之入侵檢測篇在管理主機(jī)上安裝、配置IDS客戶端：1. 安裝客戶端；IDS管理中心配置-客戶端的安裝在管理主機(jī)上安裝、配置IDS客戶端：1. 安裝客戶端；IDS2. 登陸客戶端，進(jìn)行配置；（默認(rèn)用戶名：admin，密碼：talent）IDS管理中心配置-客戶端的安裝2. 登陸客戶端，進(jìn)行配置；（默認(rèn)用戶名：admin，密碼：探頭配置：選擇“資產(chǎn)”“引擎”，單擊“添加”按鈕，進(jìn)行探頭配置；名稱”和“組”自己填寫，ip地址填入IDS控制口的ip，端口用默認(rèn)的2002，“類型”選擇自動獲取，如果獲取不成功，查看IDS的控制口與管理機(jī)之間

2、鏈接是否正常，能否ping通，再看ip地址是否填寫正確；“策略”選擇自動刷新探頭，刷新出來后給這個探頭分配策略。IDS管理中心配置-探頭的添加探頭配置：選擇“資產(chǎn)”“引擎”，單擊“添加”按鈕，進(jìn)行探頭3-3-02信息安全產(chǎn)品配置與應(yīng)用課程-入侵檢測篇-ID課件探頭配置好后，單擊“確定”保存，然后就可以將剛才所選的配置下發(fā)到IDS引擎上了。單擊“同步”，依順序選擇“下發(fā)策略”，“應(yīng)用策略”。 IDS管理中心配置-策略的下發(fā)和執(zhí)行探頭配置好后，單擊“確定”保存，然后就可以將剛才所選的配置下 這樣IDS管理中心就基本配置完成了，大家可以在實時和歷史事件中看到數(shù)據(jù)。IDS管理中心配置-策略的下發(fā)和執(zhí)行

3、 這樣IDS管理中心就基本配置完成了 點(diǎn)擊圖中紅色標(biāo)記位置，實時顯示引擎檢測到的事件。實時事件窗口只能顯示環(huán)境設(shè)置的日志窗口頁大小中指定數(shù)量的事件。 通過雙擊歷史事件中的特定事件，可以查看關(guān)于該事件的詳細(xì)內(nèi)容。IDS管理中心配置-入侵檢測日志 點(diǎn)擊圖中紅色標(biāo)記位置，實時顯示引擎檢測到 通過點(diǎn)擊圖中所示位置，可以查看監(jiān)控日志。IDS管理中心配置-監(jiān)控日志 通過點(diǎn)擊圖中所示位置，可以查看監(jiān)控日志。IDS管理 點(diǎn)擊圖中紅色標(biāo)記位置，顯示POP3, SMTP,IMAP等郵件監(jiān)控相關(guān)日志。 通過雙擊特定事件，可以查看詳細(xì)內(nèi)容。IDS管理中心配置-郵件監(jiān)控日志 點(diǎn)擊圖中紅色標(biāo)記位置，顯示POP3, SMT

4、P,IM 點(diǎn)擊圖中紅色標(biāo)記位置，顯示Messenger監(jiān)控(MSN)相關(guān)日志。 通過雙擊可以查看關(guān)于該事件的詳細(xì)說明。IDS管理中心配置-Messenger日志 點(diǎn)擊圖中紅色標(biāo)記位置，顯示Messenger監(jiān)控(M 點(diǎn)擊圖中紅色標(biāo)記位置，顯示通過FTP 或MSN傳輸文件的日志。IDS管理中心配置-文件傳輸日志 點(diǎn)擊圖中紅色標(biāo)記位置，顯示通過FTP 點(diǎn)擊圖中紅色標(biāo)記位置，顯示入侵檢測統(tǒng)計，按風(fēng)險級別、規(guī)則組顯示入侵檢測日志統(tǒng)計。IDS管理中心配置-入侵檢測統(tǒng)計 點(diǎn)擊圖中紅色標(biāo)記位置，顯示入侵檢測統(tǒng)計 流量統(tǒng)計、網(wǎng)絡(luò)流量統(tǒng)計、入侵流量統(tǒng)計、實時流量統(tǒng)計等點(diǎn)擊圖中紅色標(biāo)記位置，進(jìn)入網(wǎng)絡(luò)流量統(tǒng)計界面。

5、流量統(tǒng)計分為web 。IDS管理中心配置-網(wǎng)絡(luò)流量統(tǒng)計 流量統(tǒng)計、網(wǎng)絡(luò)流量統(tǒng)計、入侵流量統(tǒng)計點(diǎn)擊圖中紅色標(biāo)記位置，顯示引擎狀態(tài)的實時監(jiān)控信息。實時監(jiān)控引擎的狀態(tài)，包括CPU、內(nèi)存等資源使用率，當(dāng)前會話數(shù)、流量、丟包數(shù)等。詳細(xì)查看引擎的各種狀態(tài)信息。IDS管理中心配置-實時監(jiān)控點(diǎn)擊圖中紅色標(biāo)記位置，顯示引擎狀態(tài)的實時監(jiān)控信息。IDS管理 點(diǎn)擊圖中紅色標(biāo)記位置，顯示會話監(jiān)控，實時顯示當(dāng)前會話。可以通過條件查詢窗口指定各種條件進(jìn)行查詢。IDS管理中心配置-會話監(jiān)控 點(diǎn)擊圖中紅色標(biāo)記位置，顯示會話監(jiān)控，實天融信IDS日志可以保存到數(shù)據(jù)庫中，數(shù)據(jù)庫類型支持MS ACCESS和MS SQL SERVER兩

6、種類型；（一般采用sql數(shù)據(jù)庫）在管理主機(jī)上安裝好sql2000后，使用我們提供的數(shù)據(jù)庫生成器即可；在【資產(chǎn)】【環(huán)境設(shè)置】中“日志目錄”的設(shè)置必須與創(chuàng)建數(shù)據(jù)庫時在數(shù)據(jù)庫服務(wù)器上所指定的路徑完全相同，否則“連接測試”提示成功，但不能正常連接到數(shù)據(jù)庫服務(wù)器 如：在創(chuàng)建數(shù)據(jù)庫時指定的目錄是“c:log”，那么在環(huán)境設(shè)置中也必須指定為“c:log”。 IDS管理中心配置-日志保存數(shù)據(jù)庫的配置天融信IDS日志可以保存到數(shù)據(jù)庫中，數(shù)據(jù)庫類型支持MS ACIDS管理中心配置-日志保存數(shù)據(jù)庫的配置IDS管理中心配置-日志保存數(shù)據(jù)庫的配置打開策略編輯器，點(diǎn)擊“事件組自定義”結(jié)點(diǎn)點(diǎn)擊上圖右下框的“添加”按鈕，出現(xiàn)

7、下圖，用戶通過此窗口定義自定義事件的屬性。自定義的事件集，可以在探頭策略那里進(jìn)行選擇，然后下發(fā)給IDS引擎IDS管理中心配置-自定義事件打開策略編輯器，點(diǎn)擊“事件組自定義”結(jié)點(diǎn)IDS管理中心配NGIDS引擎 ANGIDS引擎 CNGIDS引擎 B多級控制臺管理三級管理中心二級管理中心一級管理中心大型分布式網(wǎng)絡(luò)環(huán)境下需要進(jìn)行分級管理用戶需要進(jìn)行多層分級管理如何設(shè)置？IDS管理中心配置-多層分級管理NGIDS引擎 ANGIDS引擎 CNGIDS引擎 B多級控上級管理中心設(shè)置在資產(chǎn)菜單中點(diǎn)擊引擎添加，選擇類型為下級管理中心，輸入要管理的下級控制臺的IP地址，注意要保證兩個控制臺可以通訊上級管理中心端

8、的配置：IDS管理中心配置-多層分級管理上級管理中心設(shè)置在資產(chǎn)菜單中點(diǎn)擊引擎添加，選擇類型為下級管理下級管理中心設(shè)置下級管理控制臺的配置：首先添加一個可管理的引擎，IP地址輸入引擎的管理地址，并添加相應(yīng)的策略。IDS管理中心配置-多層分級管理下級管理中心設(shè)置下級管理控制臺的配置：首先添加一個可管理的引下級管理中心設(shè)置點(diǎn)擊資產(chǎn)菜單中的環(huán)境設(shè)置頁，打開分級管理，選中本控制臺作為下級管理中心，并輸入上級管理中心的地址。同時可以在下面的屬性頁中選擇一些通訊的策略。IDS管理中心配置-多層分級管理下級管理中心設(shè)置點(diǎn)擊資產(chǎn)菜單中的環(huán)境設(shè)置頁，打開分級管理，選這樣，在上級的管理中心可以看到下級管理控制臺發(fā)來

9、的入侵日志：IDS管理中心配置-多層分級管理這樣，在上級的管理中心可以看到下級管理控制臺發(fā)來的入侵日志：第一步：點(diǎn)擊引擎菜單中的引擎控制，打開防火墻聯(lián)動證書窗口，導(dǎo)入防火墻生成的聯(lián)動證書文件Key_file_ids應(yīng)用。IDS管理中心配置-與防火墻的聯(lián)動第一步：點(diǎn)擊引擎菜單中的引擎控制，打開防火墻聯(lián)動證書窗口，導(dǎo)第二步：點(diǎn)擊策略編輯器中的響應(yīng)按鈕，打開響應(yīng)對話框，編輯“天融信防火墻”屬性。IDS管理中心配置-與防火墻的聯(lián)動第二步：點(diǎn)擊策略編輯器中的響應(yīng)按鈕，打開響應(yīng)對話框，編輯“天此窗口為防火墻響應(yīng)屬性頁，用戶可以對其響應(yīng)屬性進(jìn)行修改。點(diǎn)擊最下方對話框中的“天融信防火墻”，在響應(yīng)對象中會出現(xiàn)“

10、天融信防火墻”，點(diǎn)擊出現(xiàn)右邊對話框中的響應(yīng)方式IDS管理中心配置-與防火墻的聯(lián)動此窗口為防火墻響應(yīng)屬性頁，用戶可以對其響應(yīng)屬性進(jìn)行修改。點(diǎn)擊雙擊編輯天融信防火墻的對象屬性，輸入防火墻的IP地址和密鑰文件名：注： 此處的密鑰文件名必須與引擎控制中導(dǎo)入的文件名稱一致IDS管理中心配置-與防火墻的聯(lián)動雙擊編輯天融信防火墻的對象屬性，輸入防火墻的IP地址和密鑰文雙擊右邊對話框編輯響應(yīng)對象屬性。管理員可在下面的窗口中對天融信防火墻的響應(yīng)方式進(jìn)行設(shè)置：注： 為使響應(yīng)方式的修改生效，須先去掉響應(yīng)方式前面方框中的選中標(biāo)記，之后再重新選中IDS管理中心配置-與防火墻的聯(lián)動雙擊右邊對話框編輯響應(yīng)對象屬性。管理員可

11、在下面的窗口中對天融在策略編輯器中針對需要防火墻阻斷的事件，選擇天融信防火墻的響應(yīng)方式，即可對相應(yīng)的事件實現(xiàn)防火墻阻斷。（“策略”中選擇該事件，然后在右邊對話框中點(diǎn)擊“添加”）注：建議采用添加響應(yīng)方式，不要改變默認(rèn)的響應(yīng)“常規(guī)日志”IDS管理中心配置-與防火墻的聯(lián)動在策略編輯器中針對需要防火墻阻斷的事件，選擇天融信防火墻的響如果要生成相應(yīng)的網(wǎng)絡(luò)流量統(tǒng)計數(shù)據(jù)，必須要在策略編輯器的參數(shù)選項中進(jìn)行設(shè)置，控制臺程序默認(rèn)是不打開這些參數(shù)的，因為它會占用很多磁盤空間，因此由用戶來選擇是否記錄流量。在網(wǎng)絡(luò)流量統(tǒng)計屬性頁中選中相應(yīng)的參數(shù)。IDS管理中心配置-設(shè)置網(wǎng)絡(luò)流量統(tǒng)計如果要生成相應(yīng)的網(wǎng)絡(luò)流量統(tǒng)計數(shù)據(jù)，必須要在策略編輯器的參數(shù)選在添加引擎時需要選中引擎狀態(tài)中的網(wǎng)絡(luò)統(tǒng)計選項，這樣才會進(jìn)行網(wǎng)絡(luò)統(tǒng)計：IDS管理中心配置-設(shè)置網(wǎng)絡(luò)流量統(tǒng)計在添加引擎時需要選中引擎狀態(tài)中的網(wǎng)絡(luò)統(tǒng)計選項，這樣才會進(jìn)行網(wǎng)本講主要內(nèi)容任務(wù)目標(biāo)任務(wù)1：學(xué)習(xí)天融信入侵檢測引擎配置子任務(wù)A：IDS管理口的配置子任務(wù)B：ID