3-3-02《信息安全產(chǎn)品配置與應(yīng)用》課程-入侵檢測(cè)篇-ID課件

1、云安全產(chǎn)品配置與應(yīng)用之入侵檢測(cè)篇產(chǎn)品配置與實(shí)踐云安全產(chǎn)品配置與應(yīng)用之入侵檢測(cè)篇在管理主機(jī)上安裝、配置IDS客戶端：1. 安裝客戶端；IDS管理中心配置-客戶端的安裝在管理主機(jī)上安裝、配置IDS客戶端：1. 安裝客戶端；IDS2. 登陸客戶端，進(jìn)行配置；（默認(rèn)用戶名：admin，密碼：talent）IDS管理中心配置-客戶端的安裝2. 登陸客戶端，進(jìn)行配置；（默認(rèn)用戶名：admin，密碼：探頭配置：選擇“資產(chǎn)”“引擎”，單擊“添加”按鈕，進(jìn)行探頭配置；名稱”和“組”自己填寫，ip地址填入IDS控制口的ip，端口用默認(rèn)的2002，“類型”選擇自動(dòng)獲取，如果獲取不成功，查看IDS的控制口與管理機(jī)之間

2、鏈接是否正常，能否ping通，再看ip地址是否填寫正確；“策略”選擇自動(dòng)刷新探頭，刷新出來(lái)后給這個(gè)探頭分配策略。IDS管理中心配置-探頭的添加探頭配置：選擇“資產(chǎn)”“引擎”，單擊“添加”按鈕，進(jìn)行探頭3-3-02信息安全產(chǎn)品配置與應(yīng)用課程-入侵檢測(cè)篇-ID課件探頭配置好后，單擊“確定”保存，然后就可以將剛才所選的配置下發(fā)到IDS引擎上了。單擊“同步”，依順序選擇“下發(fā)策略”，“應(yīng)用策略”。 IDS管理中心配置-策略的下發(fā)和執(zhí)行探頭配置好后，單擊“確定”保存，然后就可以將剛才所選的配置下 這樣IDS管理中心就基本配置完成了，大家可以在實(shí)時(shí)和歷史事件中看到數(shù)據(jù)。IDS管理中心配置-策略的下發(fā)和執(zhí)行

3、 這樣IDS管理中心就基本配置完成了 點(diǎn)擊圖中紅色標(biāo)記位置，實(shí)時(shí)顯示引擎檢測(cè)到的事件。實(shí)時(shí)事件窗口只能顯示環(huán)境設(shè)置的日志窗口頁(yè)大小中指定數(shù)量的事件。 通過(guò)雙擊歷史事件中的特定事件，可以查看關(guān)于該事件的詳細(xì)內(nèi)容。IDS管理中心配置-入侵檢測(cè)日志 點(diǎn)擊圖中紅色標(biāo)記位置，實(shí)時(shí)顯示引擎檢測(cè)到 通過(guò)點(diǎn)擊圖中所示位置，可以查看監(jiān)控日志。IDS管理中心配置-監(jiān)控日志 通過(guò)點(diǎn)擊圖中所示位置，可以查看監(jiān)控日志。IDS管理 點(diǎn)擊圖中紅色標(biāo)記位置，顯示POP3, SMTP,IMAP等郵件監(jiān)控相關(guān)日志。 通過(guò)雙擊特定事件，可以查看詳細(xì)內(nèi)容。IDS管理中心配置-郵件監(jiān)控日志 點(diǎn)擊圖中紅色標(biāo)記位置，顯示POP3, SMT

4、P,IM 點(diǎn)擊圖中紅色標(biāo)記位置，顯示Messenger監(jiān)控(MSN)相關(guān)日志。 通過(guò)雙擊可以查看關(guān)于該事件的詳細(xì)說(shuō)明。IDS管理中心配置-Messenger日志 點(diǎn)擊圖中紅色標(biāo)記位置，顯示Messenger監(jiān)控(M 點(diǎn)擊圖中紅色標(biāo)記位置，顯示通過(guò)FTP 或MSN傳輸文件的日志。IDS管理中心配置-文件傳輸日志 點(diǎn)擊圖中紅色標(biāo)記位置，顯示通過(guò)FTP 點(diǎn)擊圖中紅色標(biāo)記位置，顯示入侵檢測(cè)統(tǒng)計(jì)，按風(fēng)險(xiǎn)級(jí)別、規(guī)則組顯示入侵檢測(cè)日志統(tǒng)計(jì)。IDS管理中心配置-入侵檢測(cè)統(tǒng)計(jì) 點(diǎn)擊圖中紅色標(biāo)記位置，顯示入侵檢測(cè)統(tǒng)計(jì) 流量統(tǒng)計(jì)、網(wǎng)絡(luò)流量統(tǒng)計(jì)、入侵流量統(tǒng)計(jì)、實(shí)時(shí)流量統(tǒng)計(jì)等點(diǎn)擊圖中紅色標(biāo)記位置，進(jìn)入網(wǎng)絡(luò)流量統(tǒng)計(jì)界面。

5、流量統(tǒng)計(jì)分為web 。IDS管理中心配置-網(wǎng)絡(luò)流量統(tǒng)計(jì) 流量統(tǒng)計(jì)、網(wǎng)絡(luò)流量統(tǒng)計(jì)、入侵流量統(tǒng)計(jì)點(diǎn)擊圖中紅色標(biāo)記位置，顯示引擎狀態(tài)的實(shí)時(shí)監(jiān)控信息。實(shí)時(shí)監(jiān)控引擎的狀態(tài)，包括CPU、內(nèi)存等資源使用率，當(dāng)前會(huì)話數(shù)、流量、丟包數(shù)等。詳細(xì)查看引擎的各種狀態(tài)信息。IDS管理中心配置-實(shí)時(shí)監(jiān)控點(diǎn)擊圖中紅色標(biāo)記位置，顯示引擎狀態(tài)的實(shí)時(shí)監(jiān)控信息。IDS管理 點(diǎn)擊圖中紅色標(biāo)記位置，顯示會(huì)話監(jiān)控，實(shí)時(shí)顯示當(dāng)前會(huì)話?？梢酝ㄟ^(guò)條件查詢窗口指定各種條件進(jìn)行查詢。IDS管理中心配置-會(huì)話監(jiān)控 點(diǎn)擊圖中紅色標(biāo)記位置，顯示會(huì)話監(jiān)控，實(shí)天融信IDS日志可以保存到數(shù)據(jù)庫(kù)中，數(shù)據(jù)庫(kù)類型支持MS ACCESS和MS SQL SERVER兩

6、種類型；（一般采用sql數(shù)據(jù)庫(kù)）在管理主機(jī)上安裝好sql2000后，使用我們提供的數(shù)據(jù)庫(kù)生成器即可；在【資產(chǎn)】【環(huán)境設(shè)置】中“日志目錄”的設(shè)置必須與創(chuàng)建數(shù)據(jù)庫(kù)時(shí)在數(shù)據(jù)庫(kù)服務(wù)器上所指定的路徑完全相同，否則“連接測(cè)試”提示成功，但不能正常連接到數(shù)據(jù)庫(kù)服務(wù)器 如：在創(chuàng)建數(shù)據(jù)庫(kù)時(shí)指定的目錄是“c:log”，那么在環(huán)境設(shè)置中也必須指定為“c:log”。 IDS管理中心配置-日志保存數(shù)據(jù)庫(kù)的配置天融信IDS日志可以保存到數(shù)據(jù)庫(kù)中，數(shù)據(jù)庫(kù)類型支持MS ACIDS管理中心配置-日志保存數(shù)據(jù)庫(kù)的配置IDS管理中心配置-日志保存數(shù)據(jù)庫(kù)的配置打開策略編輯器，點(diǎn)擊“事件組自定義”結(jié)點(diǎn)點(diǎn)擊上圖右下框的“添加”按鈕，出現(xiàn)

7、下圖，用戶通過(guò)此窗口定義自定義事件的屬性。自定義的事件集，可以在探頭策略那里進(jìn)行選擇，然后下發(fā)給IDS引擎IDS管理中心配置-自定義事件打開策略編輯器，點(diǎn)擊“事件組自定義”結(jié)點(diǎn)IDS管理中心配NGIDS引擎 ANGIDS引擎 CNGIDS引擎 B多級(jí)控制臺(tái)管理三級(jí)管理中心二級(jí)管理中心一級(jí)管理中心大型分布式網(wǎng)絡(luò)環(huán)境下需要進(jìn)行分級(jí)管理用戶需要進(jìn)行多層分級(jí)管理如何設(shè)置？IDS管理中心配置-多層分級(jí)管理NGIDS引擎 ANGIDS引擎 CNGIDS引擎 B多級(jí)控上級(jí)管理中心設(shè)置在資產(chǎn)菜單中點(diǎn)擊引擎添加，選擇類型為下級(jí)管理中心，輸入要管理的下級(jí)控制臺(tái)的IP地址，注意要保證兩個(gè)控制臺(tái)可以通訊上級(jí)管理中心端

8、的配置：IDS管理中心配置-多層分級(jí)管理上級(jí)管理中心設(shè)置在資產(chǎn)菜單中點(diǎn)擊引擎添加，選擇類型為下級(jí)管理下級(jí)管理中心設(shè)置下級(jí)管理控制臺(tái)的配置：首先添加一個(gè)可管理的引擎，IP地址輸入引擎的管理地址，并添加相應(yīng)的策略。IDS管理中心配置-多層分級(jí)管理下級(jí)管理中心設(shè)置下級(jí)管理控制臺(tái)的配置：首先添加一個(gè)可管理的引下級(jí)管理中心設(shè)置點(diǎn)擊資產(chǎn)菜單中的環(huán)境設(shè)置頁(yè)，打開分級(jí)管理，選中本控制臺(tái)作為下級(jí)管理中心，并輸入上級(jí)管理中心的地址。同時(shí)可以在下面的屬性頁(yè)中選擇一些通訊的策略。IDS管理中心配置-多層分級(jí)管理下級(jí)管理中心設(shè)置點(diǎn)擊資產(chǎn)菜單中的環(huán)境設(shè)置頁(yè)，打開分級(jí)管理，選這樣，在上級(jí)的管理中心可以看到下級(jí)管理控制臺(tái)發(fā)來(lái)

9、的入侵日志：IDS管理中心配置-多層分級(jí)管理這樣，在上級(jí)的管理中心可以看到下級(jí)管理控制臺(tái)發(fā)來(lái)的入侵日志：第一步：點(diǎn)擊引擎菜單中的引擎控制，打開防火墻聯(lián)動(dòng)證書窗口，導(dǎo)入防火墻生成的聯(lián)動(dòng)證書文件Key_file_ids應(yīng)用。IDS管理中心配置-與防火墻的聯(lián)動(dòng)第一步：點(diǎn)擊引擎菜單中的引擎控制，打開防火墻聯(lián)動(dòng)證書窗口，導(dǎo)第二步：點(diǎn)擊策略編輯器中的響應(yīng)按鈕，打開響應(yīng)對(duì)話框，編輯“天融信防火墻”屬性。IDS管理中心配置-與防火墻的聯(lián)動(dòng)第二步：點(diǎn)擊策略編輯器中的響應(yīng)按鈕，打開響應(yīng)對(duì)話框，編輯“天此窗口為防火墻響應(yīng)屬性頁(yè)，用戶可以對(duì)其響應(yīng)屬性進(jìn)行修改。點(diǎn)擊最下方對(duì)話框中的“天融信防火墻”，在響應(yīng)對(duì)象中會(huì)出現(xiàn)“

10、天融信防火墻”，點(diǎn)擊出現(xiàn)右邊對(duì)話框中的響應(yīng)方式IDS管理中心配置-與防火墻的聯(lián)動(dòng)此窗口為防火墻響應(yīng)屬性頁(yè)，用戶可以對(duì)其響應(yīng)屬性進(jìn)行修改。點(diǎn)擊雙擊編輯天融信防火墻的對(duì)象屬性，輸入防火墻的IP地址和密鑰文件名：注： 此處的密鑰文件名必須與引擎控制中導(dǎo)入的文件名稱一致IDS管理中心配置-與防火墻的聯(lián)動(dòng)雙擊編輯天融信防火墻的對(duì)象屬性，輸入防火墻的IP地址和密鑰文雙擊右邊對(duì)話框編輯響應(yīng)對(duì)象屬性。管理員可在下面的窗口中對(duì)天融信防火墻的響應(yīng)方式進(jìn)行設(shè)置：注： 為使響應(yīng)方式的修改生效，須先去掉響應(yīng)方式前面方框中的選中標(biāo)記，之后再重新選中IDS管理中心配置-與防火墻的聯(lián)動(dòng)雙擊右邊對(duì)話框編輯響應(yīng)對(duì)象屬性。管理員可

11、在下面的窗口中對(duì)天融在策略編輯器中針對(duì)需要防火墻阻斷的事件，選擇天融信防火墻的響應(yīng)方式，即可對(duì)相應(yīng)的事件實(shí)現(xiàn)防火墻阻斷。（“策略”中選擇該事件，然后在右邊對(duì)話框中點(diǎn)擊“添加”）注：建議采用添加響應(yīng)方式，不要改變默認(rèn)的響應(yīng)“常規(guī)日志”IDS管理中心配置-與防火墻的聯(lián)動(dòng)在策略編輯器中針對(duì)需要防火墻阻斷的事件，選擇天融信防火墻的響如果要生成相應(yīng)的網(wǎng)絡(luò)流量統(tǒng)計(jì)數(shù)據(jù)，必須要在策略編輯器的參數(shù)選項(xiàng)中進(jìn)行設(shè)置，控制臺(tái)程序默認(rèn)是不打開這些參數(shù)的，因?yàn)樗鼤?huì)占用很多磁盤空間，因此由用戶來(lái)選擇是否記錄流量。在網(wǎng)絡(luò)流量統(tǒng)計(jì)屬性頁(yè)中選中相應(yīng)的參數(shù)。IDS管理中心配置-設(shè)置網(wǎng)絡(luò)流量統(tǒng)計(jì)如果要生成相應(yīng)的網(wǎng)絡(luò)流量統(tǒng)計(jì)數(shù)據(jù)，必須要在策略編輯器的參數(shù)選在添加引擎時(shí)需要選中引擎狀態(tài)中的網(wǎng)絡(luò)統(tǒng)計(jì)選項(xiàng)，這樣才會(huì)進(jìn)行網(wǎng)絡(luò)統(tǒng)計(jì)：IDS管理中心配置-設(shè)置網(wǎng)絡(luò)流量統(tǒng)計(jì)在添加引擎時(shí)需要選中引擎狀態(tài)中的網(wǎng)絡(luò)統(tǒng)計(jì)選項(xiàng)，這樣才會(huì)進(jìn)行網(wǎng)本講主要內(nèi)容任務(wù)目標(biāo)任務(wù)1：學(xué)習(xí)天融信入侵檢測(cè)引擎配置子任務(wù)A：IDS管理口的配置子任務(wù)B：ID