天清入侵防御系統(tǒng)(V6.0.2.0)用戶手冊(cè)

用戶使用手冊(cè)——天清入侵防御系統(tǒng)產(chǎn)品名稱：天清入侵防御系統(tǒng)版本標(biāo)識(shí)：V單位：北京啟明星辰信息技術(shù)

版權(quán)聲明本手冊(cè)中任何信息包括文字表達(dá)、文檔格式、插圖、照片、方法、過(guò)程等內(nèi)容，其著作權(quán)及相關(guān)權(quán)利均屬于北京啟明星辰信息技術(shù)〔以下簡(jiǎn)稱“本公司〞〕，特別申明的除外。未經(jīng)本公司書(shū)面同意，任何人不得以任何方式或形式對(duì)本手冊(cè)內(nèi)的全部或局部?jī)?nèi)容進(jìn)行修改、復(fù)制、發(fā)行、傳播、摘錄、備份、翻譯或?qū)⑵淙炕蚓植坑糜谏虡I(yè)用途。本公司對(duì)本手冊(cè)中提及的所有計(jì)算機(jī)軟件程序享有著作權(quán)，受著作權(quán)法保護(hù)。該內(nèi)容僅用于為最終用戶提供信息，且本公司有權(quán)對(duì)其作出適時(shí)調(diào)整?！疤烨迦肭址烙到y(tǒng)〞商標(biāo)為本公司的注冊(cè)商標(biāo)，受商標(biāo)法保護(hù)。未經(jīng)本公司許可，任何人不得擅自使用，不得進(jìn)行仿冒、偽造。本公司對(duì)本手冊(cè)中提及的或與之相關(guān)的各項(xiàng)技術(shù)或技術(shù)秘密享有專利〔申請(qǐng)〕權(quán)、專有權(quán)，提供本手冊(cè)并不表示授權(quán)您使用這些技術(shù)〔秘密〕。您可通過(guò)書(shū)面方式向本公司查詢技術(shù)〔秘密〕的許可使用信息。免責(zé)聲明本公司盡最大努力保證其內(nèi)容本手冊(cè)內(nèi)容的準(zhǔn)確可靠，但并不對(duì)因本手冊(cè)內(nèi)容的完整性、準(zhǔn)確性或因?qū)υ撔畔⒌恼`解、誤用而導(dǎo)致的損害承當(dāng)法律責(zé)任。信息更新本手冊(cè)依據(jù)現(xiàn)有信息制作，其內(nèi)容如有更改，本公司將不另行通知。出版時(shí)間本文檔由北京啟明星辰信息技術(shù)2023年3月出版。北京啟明星辰信息技術(shù)保存對(duì)本手冊(cè)及本聲明的最終解釋權(quán)和修改權(quán)。目錄1產(chǎn)品介紹11.1產(chǎn)品簡(jiǎn)介11.2產(chǎn)品特色21.3產(chǎn)品組成結(jié)構(gòu)21.3.1多樣化的網(wǎng)絡(luò)引擎31.3.2模塊化的管理中心31.4產(chǎn)品部署模式41.4.1單對(duì)串接模式41.4.2非對(duì)稱模式52使用約定63名詞解釋74用戶管理審計(jì)104.1簡(jiǎn)要介紹104.1.1用戶分類104.1.2角色職責(zé)104.2用戶管理工具的使用114.3用戶管理員使用114.3.1用戶管理員登錄114.3.2添加用戶144.3.3修改用戶154.3.4刪除用戶154.3.5更改密碼154.3.6調(diào)整組權(quán)限154.3.7用戶登錄失敗處理設(shè)定164.3.8設(shè)定多鑒別方式174.4審計(jì)員使用194.4.1審計(jì)員登錄204.4.2審計(jì)完整性檢查204.4.3用戶日志查看204.4.4可選審計(jì)配置214.4.5用戶登錄出錯(cuò)記錄查看和被鎖定用戶的處理235管理控制中心235.1進(jìn)入管理控制中心245.2菜單介紹255.2.1系統(tǒng)設(shè)置255.2.2視圖選擇345.2.3組件管理345.2.4分級(jí)管理385.2.5策略任務(wù)415.2.6日志管理425.2.7更新升級(jí)425.2.8常用工具425.3工具欄介紹435.4右鍵菜單445.4.1組件操作445.4.2拓?fù)湔{(diào)整475.5主界面上的其它局部506策略編輯526.1簡(jiǎn)介526.2進(jìn)入策略編輯器526.2.1系統(tǒng)策略集分類536.2.2界面按鈕功能546.3如何生成用戶策略556.4編輯/查看策略596.4.1查看策略596.4.2響應(yīng)方式606.4.3合并方式646.4.4提取原始報(bào)文686.5策略集重命名696.6刪除策略706.7導(dǎo)出策略706.8導(dǎo)入策略716.9策略分析界面說(shuō)明727動(dòng)態(tài)策略787.1菜單說(shuō)明787.2使用方法797.2.1統(tǒng)計(jì)時(shí)間間隔配置797.2.2制定方案和規(guī)那么807.2.3查看規(guī)那么日志837.2.4根據(jù)報(bào)告的top10事件定義規(guī)那么837.2.5舉例說(shuō)明如何使用動(dòng)態(tài)策略858事件自定義908.1網(wǎng)絡(luò)特征事件自定義908.2網(wǎng)絡(luò)行為關(guān)聯(lián)事件自定義979事件更新1069.1事件更新的意義1069.2事件更新的具體操作1069.3事件庫(kù)更新設(shè)置10910全局預(yù)警11010.1全局預(yù)警的定義11010.2設(shè)置允許全局預(yù)警11011綜合信息顯示11411.1顯示中心的啟動(dòng)11411.2窗口的調(diào)整11511.2.1主窗口頁(yè)片的調(diào)整11511.2.2報(bào)警窗口的調(diào)整11611.2.3窗口屬性調(diào)整11711.2.4報(bào)警事件的詳細(xì)事件信息顯示12211.3菜單介紹12311.3.1系統(tǒng)12311.3.2事件管理12911.3.3列表窗口13011.3.4查看13011.3.5工具欄簡(jiǎn)介13011.3.6右鍵菜單13212日志分析中心13712.1工具欄簡(jiǎn)介13712.2右鍵菜單13912.3入侵防御報(bào)表14012.3.1入侵防御報(bào)表模板14012.3.2用戶自定義報(bào)表14512.3.3日志查詢15012.3.4報(bào)表的導(dǎo)出15612.3.5備份庫(kù)查詢16012.4用戶操作日志報(bào)表16112.4.1用戶操作日志報(bào)表模板16113日志維護(hù)16213.1自動(dòng)維護(hù)設(shè)置16213.2手動(dòng)維護(hù)16313.3導(dǎo)入數(shù)據(jù)庫(kù)16613.4退出16714事件幫助16814.1界面說(shuō)明16814.2查詢方法16915升級(jí)管理中心17115.1概述17115.2版本及升級(jí)包查看17115.3菜單介紹17215.4系統(tǒng)17215.5產(chǎn)品升級(jí)17415.6升級(jí)包管理17615.7日志管理17615.8視圖17615.9多級(jí)控制中心的軟件升級(jí)17716典型應(yīng)用17817附錄：數(shù)據(jù)源的配置方法185產(chǎn)品介紹歡送您使用天清入侵防御系統(tǒng)，本章將為您介紹以下內(nèi)容。產(chǎn)品簡(jiǎn)介天清入侵防御系統(tǒng)〔IntrusionPreventionSystem〕是啟明星辰信息技術(shù)自行研制開(kāi)發(fā)的入侵防御類網(wǎng)絡(luò)平安產(chǎn)品。天清入侵防御系統(tǒng)圍繞深層防御、精確阻斷這個(gè)核心，通過(guò)對(duì)網(wǎng)絡(luò)中深層攻擊行為進(jìn)行準(zhǔn)確的分析判斷，在判定為攻擊行為后立即予以阻斷，主動(dòng)而有效的保護(hù)網(wǎng)絡(luò)的平安。啟明星辰堅(jiān)信，不了解黑客技術(shù)的最新開(kāi)展，就談不上對(duì)黑客入侵的有效防范。為了了解黑客活動(dòng)的前沿狀況，把握黑客技術(shù)的動(dòng)態(tài)開(kāi)展，深化對(duì)黑客行為的本質(zhì)分析，預(yù)防黑客的突然襲擊并以最快速度判斷黑客的最新攻擊手段，啟明星辰專門(mén)建立了積極防御實(shí)驗(yàn)室(V-AD-LAB)，通過(guò)持續(xù)不斷地研究、實(shí)踐和積累，逐漸建立起一系列數(shù)據(jù)、信息和知識(shí)庫(kù)作為公司產(chǎn)品、解決方案和專業(yè)效勞的技術(shù)支撐，如攻擊特征庫(kù)、系統(tǒng)漏洞庫(kù)、系統(tǒng)補(bǔ)丁庫(kù)和IP定位數(shù)據(jù)庫(kù)等。啟明星辰在入侵防御技術(shù)領(lǐng)域的成就受到了國(guó)家權(quán)威部門(mén)的肯定和認(rèn)可，成為國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT)和CNCVE的承建單位.啟明星辰對(duì)國(guó)內(nèi)外最新的網(wǎng)絡(luò)系統(tǒng)平安漏洞與應(yīng)用軟件漏洞一直進(jìn)行著最及時(shí)和最緊密的跟蹤，對(duì)重大平安問(wèn)題成立專項(xiàng)研究小組進(jìn)行技術(shù)攻關(guān)，并將發(fā)現(xiàn)的漏洞及時(shí)呈報(bào)給國(guó)際CVE〔Common

Vulnerabilities

and

Exposures〕組織。目前已有多個(gè)漏洞的命名被國(guó)際CVE組織采用，獲得了該組織機(jī)構(gòu)唯一的標(biāo)識(shí)號(hào)。天清入侵防御系統(tǒng)強(qiáng)大的功能、簡(jiǎn)單的操作、友好的用戶界面、全面的技術(shù)支持解除了您的后顧之憂，是您值得信賴的網(wǎng)絡(luò)平安產(chǎn)品。產(chǎn)品特色天清入侵防御系統(tǒng)和傳統(tǒng)的入侵檢測(cè)產(chǎn)品相比，具有如下幾個(gè)顯著的優(yōu)點(diǎn)：〔1〕在傳統(tǒng)入侵檢測(cè)系統(tǒng)的入侵檢測(cè)的根底上，增加了事件阻斷功能，使我們對(duì)入侵事件的響應(yīng)方式由被動(dòng)的預(yù)警轉(zhuǎn)化為主動(dòng)的防御，使網(wǎng)絡(luò)更加家平安可靠；〔2〕入侵防御系統(tǒng)的部署方式不同于傳統(tǒng)入侵檢測(cè)系統(tǒng)的旁路監(jiān)聽(tīng)模式，采用串接的模式，使得入侵防御系統(tǒng)對(duì)入侵事件的識(shí)別不依賴于其他網(wǎng)絡(luò)設(shè)備，大大提高了對(duì)事件的分析速度和準(zhǔn)確性；〔3〕天清入侵防御系統(tǒng)自帶硬件Bypass和軟件Bypass功能，使得設(shè)備在斷電、系統(tǒng)異常等情況下都能夠保持網(wǎng)絡(luò)的連通性，防止給網(wǎng)絡(luò)帶來(lái)單點(diǎn)故障問(wèn)題；〔4〕引入的集中監(jiān)管、分級(jí)部署的多級(jí)管理體系全面符合行政業(yè)務(wù)架構(gòu)的管理模式，真正實(shí)現(xiàn)分布式產(chǎn)品的結(jié)構(gòu)統(tǒng)一協(xié)調(diào)管理，建立全局的平安防御機(jī)制；〔5〕采用標(biāo)準(zhǔn)化的通訊結(jié)構(gòu)，可以實(shí)現(xiàn)管理體系的全面升級(jí)和擴(kuò)容，并支持SOC更高層次的平安管理。產(chǎn)品組成結(jié)構(gòu)天清入侵防御系統(tǒng)由兩局部組成：管理控制臺(tái)和網(wǎng)絡(luò)引擎。整個(gè)系統(tǒng)運(yùn)行起來(lái)還需要第三方的數(shù)據(jù)庫(kù)來(lái)支持，如Access、SQL、Oracle等。數(shù)據(jù)庫(kù)是天清入侵防御系統(tǒng)的數(shù)據(jù)倉(cāng)庫(kù)，因此您要根據(jù)您的網(wǎng)絡(luò)在一段時(shí)間內(nèi)產(chǎn)生的數(shù)據(jù)量大小，來(lái)選擇適宜規(guī)模的數(shù)據(jù)庫(kù)，以保證系統(tǒng)的運(yùn)行效率。多樣化的網(wǎng)絡(luò)引擎天清網(wǎng)絡(luò)引擎用來(lái)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)控，依據(jù)網(wǎng)絡(luò)的流量，網(wǎng)絡(luò)引擎分為百兆型和千兆型兩種，分別應(yīng)用于不同大小的網(wǎng)絡(luò)流量?！?〕百兆型：百兆型網(wǎng)絡(luò)引擎提供10/100M自適應(yīng)的RJ45接口，可以用于100M的以太網(wǎng)?！?〕千兆型：依據(jù)網(wǎng)絡(luò)接口的不同，還細(xì)分為千兆電口型和千兆光口型。電口型用于1000Base-TX標(biāo)準(zhǔn)的接口，光口型用于1000Base-SX標(biāo)準(zhǔn)的多模光纖接口。模塊化的管理中心天清入侵防御系統(tǒng)的管理中心由管理控制中心、綜合顯示中心、日志分析中心、用戶管理審計(jì)、數(shù)據(jù)庫(kù)導(dǎo)入和升級(jí)管理中心6個(gè)局部組成。出于多點(diǎn)監(jiān)控的需要，控制中心和顯示中心可以安裝在不同的機(jī)器上，一個(gè)控制中心可以連接多個(gè)顯示中心，下面將對(duì)他們逐一進(jìn)行介紹?！?〕管理控制中心：控制位于本地或遠(yuǎn)程的多個(gè)網(wǎng)絡(luò)引擎的活動(dòng)，集中制定和配置策略，提供統(tǒng)一的數(shù)據(jù)管理。管理控制中心可以被設(shè)置為主、子結(jié)構(gòu)?！?〕綜合信息顯示：能顯示詳細(xì)的入侵告警信息(如攻擊事件名稱、入侵者的IP地址、攻擊特征等)，對(duì)事件的響應(yīng)提供在線幫助?！?〕日志分析中心：將歷史的報(bào)警信息進(jìn)行分類提取，提供了多種分析手段和模版，可以產(chǎn)生用戶所需要管理報(bào)表和詳細(xì)報(bào)表?！?〕用戶管理審計(jì)：可以對(duì)天清入侵防御系統(tǒng)的帳戶進(jìn)行管理，如創(chuàng)立/刪除帳戶、修改帳戶密碼、修改帳戶權(quán)限等，也可以設(shè)置帳戶的錯(cuò)誤登錄處理方式，對(duì)賬戶的管理操作行為進(jìn)行審計(jì)等。〔5〕數(shù)據(jù)庫(kù)導(dǎo)入：是一個(gè)對(duì)天清入侵防御系統(tǒng)的數(shù)據(jù)庫(kù)進(jìn)行初始化的工具，可以將根底庫(kù)中的事件信息導(dǎo)入到工作數(shù)據(jù)庫(kù)中，一般在控制中心安裝的過(guò)程中進(jìn)行。〔6〕升級(jí)管理中心：根據(jù)用戶需要，對(duì)天清入侵防御系統(tǒng)進(jìn)行軟件升級(jí)，定制升級(jí)周期等。天清入侵防御系統(tǒng)的模塊化設(shè)計(jì)使得檢測(cè)、管理配置、報(bào)警顯示以及日志分析四局部可以實(shí)現(xiàn)分開(kāi)部署，滿足多人同時(shí)監(jiān)測(cè)和物理上分權(quán)限管理的典型應(yīng)用。產(chǎn)品部署模式天清入侵防御系統(tǒng)的引擎可以部署在IPv4環(huán)境中，部署方式包括單對(duì)串接模式和非對(duì)稱串接模式，用戶拿到的產(chǎn)品所支持的部署模式是根據(jù)購(gòu)置合同的規(guī)定來(lái)約定的，不能隨意調(diào)換產(chǎn)品的部署模式。單對(duì)串接模式引擎接入到網(wǎng)絡(luò)中，兩個(gè)數(shù)據(jù)口采用一進(jìn)一出的模式，對(duì)所有穿透的數(shù)據(jù)進(jìn)行檢測(cè)，對(duì)發(fā)現(xiàn)的惡意攻擊進(jìn)行實(shí)時(shí)的阻斷，這種實(shí)時(shí)的主動(dòng)防御姿態(tài)，可以快速阻止來(lái)自蠕蟲(chóng)、病毒、間諜軟件和攻擊者的威脅，將威脅擋在企業(yè)網(wǎng)絡(luò)之外。非對(duì)稱模式用于使用冗余或者有主備鏈路的網(wǎng)絡(luò)中,在這種模式下，引擎將使用4個(gè)網(wǎng)絡(luò)接口，分別提供兩條通訊鏈路，可以同時(shí)對(duì)2個(gè)網(wǎng)絡(luò)進(jìn)行防護(hù)。使用約定這局部解釋的是文檔中用于表達(dá)信息的約定。我們推薦您花一點(diǎn)時(shí)間熟悉一下這局部?jī)?nèi)容。表2-1使用約定按鍵名鍵盤(pán)上按鍵的名字，如Enter、Ctrl以及Del鍵，他們出現(xiàn)在文檔中，就和鍵盤(pán)上的符號(hào)一樣〔如果鍵盤(pán)上有該鍵的話〕。當(dāng)提到方向鍵時(shí)，指的是鍵盤(pán)上畫(huà)有箭頭標(biāo)記的四個(gè)按鍵，不過(guò)當(dāng)單獨(dú)提到一個(gè)方向鍵時(shí)，是指每個(gè)鍵各自的名字〔如左箭頭，下箭頭〕，當(dāng)提到“上下方向鍵〞時(shí)，指的是上箭頭和下箭頭，當(dāng)提到“左右方向鍵〞時(shí)，指的是左箭頭和右箭頭。鍵組合當(dāng)兩個(gè)按鍵用加號(hào)連接起來(lái)的時(shí)候〔如Ctrl+C〕，指的是按住第一個(gè)按鍵，再按下第二個(gè)按鍵。鍵序列當(dāng)按鍵之間被一個(gè)逗號(hào)隔開(kāi)的時(shí)候，指的是要按順序按下他們。例如，按鍵序列Alt+E,C的意思是按住Alt鍵的同時(shí)按下E鍵，釋放這兩個(gè)鍵，然后再按下C鍵，再釋放它。鼠標(biāo)鍵當(dāng)要求按鼠標(biāo)鍵時(shí)，用鼠標(biāo)左鍵〔除非要求使用右鍵〕。當(dāng)要求拖動(dòng)屏幕上的圖標(biāo)時(shí)，用鼠標(biāo)左鍵〔除非要求使用右鍵〕。其他約定在使用本手冊(cè)之前，應(yīng)很了解MicrosoftWindows的定位技巧和術(shù)語(yǔ)、命令以及鼠標(biāo)的常規(guī)用法，對(duì)如下術(shù)語(yǔ)的含義也應(yīng)很熟悉，如對(duì)象、圖標(biāo)、單擊、雙擊、拖、選中、菜單、窗口、對(duì)話框和剪貼板。如果您對(duì)根本的Windows技巧和術(shù)語(yǔ)不了解，在繼續(xù)閱讀和使用本手冊(cè)之前，請(qǐng)先學(xué)習(xí)MicrosoftWindows的有關(guān)書(shū)籍。在使用本手冊(cè)之前，應(yīng)對(duì)TCP/IP網(wǎng)絡(luò)術(shù)語(yǔ)有所了解，如IP地址，子網(wǎng)掩碼，網(wǎng)關(guān)等。名詞解釋〔1〕入侵：對(duì)信息系統(tǒng)的非授權(quán)訪問(wèn)及〔或〕未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作,威脅計(jì)算機(jī)或網(wǎng)絡(luò)的平安機(jī)制〔包括機(jī)密性、完整性、可用性〕的行為。入侵可能是來(lái)自互聯(lián)網(wǎng)的攻擊者對(duì)系統(tǒng)的非法訪問(wèn)，也可能是系統(tǒng)的授權(quán)用戶對(duì)未授權(quán)的內(nèi)容進(jìn)行非法訪問(wèn)?！?〕入侵防御：對(duì)企圖入侵、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別和防御的過(guò)程?！?〕入侵防御系統(tǒng)〔英文簡(jiǎn)稱IPS：IntrusionProtectionSystem〕：從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)中收集信息，再通過(guò)這些信息分析入侵特征并進(jìn)行阻斷的網(wǎng)絡(luò)平安系統(tǒng)。〔4〕特征事件：系統(tǒng)通過(guò)協(xié)議解析、狀態(tài)檢測(cè)、數(shù)據(jù)關(guān)聯(lián)和模式匹配技術(shù)，報(bào)告的具有某些特征的網(wǎng)絡(luò)異常數(shù)據(jù)。如病毒、蠕蟲(chóng)等異常事件?！?〕CVE〔通用漏洞披露組織CommonVulnerabilitiesandExposures〕：MITRE〔公司〕創(chuàng)立了CVE，將漏洞名稱進(jìn)行標(biāo)準(zhǔn)化，每個(gè)漏洞都規(guī)定了一個(gè)通用的編號(hào)，參與的廠商也就順理成章按照這個(gè)標(biāo)準(zhǔn)開(kāi)發(fā)IPS產(chǎn)品。例如：W32.Lofni.Worm是一個(gè)蠕蟲(chóng)，它相關(guān)的漏洞的CVE編號(hào)是CVE-2001-0154，您可以到cve網(wǎng)站上查詢相關(guān)漏洞的信息。參考?！?〕CNCVE：中國(guó)漏洞披露組織?！?〕Bugtraq〔黑客電子郵件組〕：對(duì)于該組織所發(fā)現(xiàn)的bug，一直堅(jiān)持全面曝光的宗旨。該組織擁有世界第一個(gè)全球性的危險(xiǎn)管理系統(tǒng)和最完備的平安漏洞數(shù)據(jù)庫(kù)?！?〕策略：與事件定義對(duì)應(yīng)，設(shè)定當(dāng)用戶的操作符合定義的特征時(shí)，系統(tǒng)所作出的響應(yīng)?！?〕會(huì)話數(shù)據(jù)：TCP會(huì)話過(guò)程的數(shù)據(jù)記錄，作為會(huì)話回放的數(shù)據(jù)源?！?0〕數(shù)據(jù)報(bào)文：TCP操作過(guò)程中的原始IP報(bào)文的記錄，用于提供進(jìn)一步的報(bào)文分析。關(guān)于CVECVE是CommonVulnerabilitiesandExposures的簡(jiǎn)寫(xiě)，中文名稱就是通用漏洞披露組織，CVE站點(diǎn)目前擁有7040個(gè)知名的信息平安漏洞。其中,2572個(gè)被作為CVE的正式條目，另外的4468作為候選漏洞等待CVE編輯委員會(huì)的正式收編。CVE編輯委員會(huì)包括許多信息平安組織，例如一些平安工具的供給商、學(xué)部成員、研究機(jī)構(gòu)、政府方面的代表以及一些知名的平安專家。通過(guò)公開(kāi)討論，決定哪些漏洞被收入CVE條目，并確定它的通用名字和描述。CVE名字已經(jīng)被信息平安產(chǎn)品和信息平安效勞的供給商和研究者作為識(shí)別漏洞的標(biāo)準(zhǔn)方法，對(duì)于其它相關(guān)的信息源，如工具、站點(diǎn)、數(shù)據(jù)庫(kù)等我們也可以根據(jù)CVE名字進(jìn)行索引。CVE名字是為每個(gè)知名的平安漏洞所設(shè)置的獨(dú)一無(wú)二的公用標(biāo)識(shí)。每個(gè)CVE名字包含如下內(nèi)容：CVE標(biāo)識(shí)號(hào)(例如："CVE-1999-0067")；一個(gè)標(biāo)志，說(shuō)明此漏洞是正式條目或候選漏洞；對(duì)這個(gè)平安漏洞的簡(jiǎn)要描述；其它相關(guān)的參考(例如：漏洞報(bào)告和建議或者OVAL-ID)。您可以訪問(wèn)網(wǎng)頁(yè):///compatible/找到應(yīng)用CVE名字的193種產(chǎn)品，或者可以通過(guò)網(wǎng)頁(yè):///compatible/alerts_announcements.html查看在平安咨詢報(bào)告種使用CVE名字的47個(gè)組織。CommonVulnerabilitiesandExposures(CVE?)是:通用的脆弱性和其它信息漏洞的列表——CVE的宗旨是使所有眾所周知的平安漏洞的名稱標(biāo)準(zhǔn)化?！?〕它是一個(gè)字典，而不是一個(gè)數(shù)據(jù)庫(kù)?！?〕它是團(tuán)體合作的結(jié)果。漏洞的CVE名稱都是通過(guò)CVE編輯委員會(huì)公開(kāi)的討論與合作來(lái)確定的?！?〕免費(fèi)提供瀏覽和下載。說(shuō)明：下面將進(jìn)入系統(tǒng)的正式使用介紹，在此之前請(qǐng)確認(rèn)您已經(jīng)看過(guò)了《天清入侵防御系統(tǒng)安裝手冊(cè)》！用戶管理審計(jì)簡(jiǎn)要介紹用戶管理審計(jì)模塊主要功能是管理系統(tǒng)的用戶，審計(jì)各用戶的行為，如登錄時(shí)間及所做的操作，以檢查和保證系統(tǒng)本身的平安。用戶分類天清入侵防御系統(tǒng)用戶有三種：〔1〕用戶管理員：該權(quán)限的用戶可以為系統(tǒng)添加不同權(quán)限的用戶，并能夠已有用戶的權(quán)限進(jìn)行調(diào)整?！?〕審計(jì)員：可以查詢用戶操作日志，審計(jì)所有用戶行為的合法和平安性。〔3〕管理員：該權(quán)限的用戶有權(quán)限調(diào)整系統(tǒng)的運(yùn)行狀態(tài)，確保系統(tǒng)平安穩(wěn)定的運(yùn)行。管理員根據(jù)實(shí)際操作權(quán)限又可以細(xì)分為：管理員、操作員、分析員。角色職責(zé)1、用戶管理員：〔1〕職責(zé)：按照要求合理的添加用戶以及分配用戶權(quán)限?！?〕限制：用戶管理員只有一個(gè)，系統(tǒng)不具備單獨(dú)分配用戶管理的功能，用戶管理員不具備撤消或刪除默認(rèn)審計(jì)員權(quán)限或身份的功能。2、審計(jì)員〔1〕權(quán)限：查看用戶日志?！?〕職責(zé)：對(duì)所有用戶日志進(jìn)行審計(jì)?！?〕限制：除了查看用戶日志外沒(méi)有其他的權(quán)限。注意：用戶管理員和審計(jì)員不能登錄管理控制中心。3、管理員〔1〕權(quán)限：默認(rèn)擁有除了用戶管理和用戶審計(jì)之外的系統(tǒng)所有功能，但其權(quán)限可以被用戶管理員調(diào)整?！?〕職責(zé)：利用自身權(quán)限內(nèi)的功能，及時(shí)有效的調(diào)整系統(tǒng)運(yùn)行的模塊以及參數(shù)，保證系統(tǒng)平安穩(wěn)定的運(yùn)行。〔3〕限制：沒(méi)有用戶管理和用戶日志審計(jì)功能。說(shuō)明：管理員又可以細(xì)分為三種身份：管理員、操作員、分析員，用戶管理員可以根據(jù)要求為這三種用戶分配權(quán)限。通常情況下，給管理員分配具備策略管理、日志維護(hù)、系統(tǒng)設(shè)置等重要的管理權(quán)限，是整個(gè)IPS系統(tǒng)的管理者身份；給操作員分配查看顯示中心報(bào)警信息等簡(jiǎn)單的日常監(jiān)測(cè)權(quán)限；給分析員分配查詢報(bào)警日志、形成分析報(bào)表等權(quán)限。用戶管理工具的使用用戶管理審計(jì)模塊只有兩種身份的用戶能登錄使用：用戶管理員和審計(jì)員，下面做相應(yīng)介紹。用戶管理員使用用戶管理員可以管理系統(tǒng)的用戶，可以添加、刪除、修改用戶，調(diào)整用戶組的權(quán)限，設(shè)置登錄失敗的處理方式，設(shè)置多鑒別方式等。用戶管理員登錄1、調(diào)用用戶管理工具在開(kāi)始菜單中選擇“天清入侵防御系統(tǒng)〞→“用戶管理審計(jì)〞，界面顯示如下列圖4-1所示：圖4-1用戶登錄界面2、登錄說(shuō)明：在初始狀態(tài)下有系統(tǒng)存在三個(gè)用戶，一個(gè)是用戶管理員，用戶ID：Admin，密碼：venus60；一個(gè)是審計(jì)員，用戶ID：Audit，密碼：venus60；另一個(gè)是管理員，用戶ID：adm，密碼：venus60。輸入用戶管理員的用戶ID和密碼后進(jìn)入如圖4-2所示界面：圖4-2用戶管理與審計(jì)界面注意：〔1〕登錄后一定要注意更改密碼，以免其他人登錄對(duì)系統(tǒng)造成危害,并注意定期更換自己的密碼,密碼長(zhǎng)度要超過(guò)6位,密碼不能為單一的數(shù)字或者字符，應(yīng)該是包含數(shù)字、字母、字符中至少2種類型的組合串?！?〕密碼一定要牢記，以免造成不必要的麻煩。添加用戶用戶管理員登錄系統(tǒng)后點(diǎn)擊界面上的“添加用戶〞顯示如下列圖4-3所示對(duì)話框：圖4-3用戶資料在上圖中必填信息：〔1〕用戶名：被分配用戶用以登錄的用戶ID?！?〕所在組：被分配用戶的權(quán)限組的設(shè)定?！?〕密碼：為新分配用戶添加的初始密碼?！究梢缘卿洝窟x項(xiàng)：選擇是否允許此用戶登錄管理控制中心。如果此處不選擇打勾，那么新增用戶不能登錄和使用天清入侵防御系統(tǒng)。一般情況下，管理員角色都需要選中，操作員和分析員不需要選中〔操作員一般只需登錄綜合顯示中心，而分析員一般只需登錄日志分析中心〕。其他局部：為新添加用戶的個(gè)人詳細(xì)信息。上述信息填寫(xiě)完成并核實(shí)后點(diǎn)擊“確定〞，此時(shí)一個(gè)新的用戶就被添加成功了。注意：〔1〕用戶管理員在分配新的用戶時(shí)必須設(shè)定密碼，并且要告知其密碼并提醒其更改密碼?！?〕用戶管理員必須填寫(xiě)完整的用戶個(gè)人信息，以便于以后審計(jì)查驗(yàn)。修改用戶在用戶管理工具界面點(diǎn)擊“修改用戶〞，用戶可以更改除用戶名、密碼以外的所有用戶信息。刪除用戶在用戶管理工具界面選擇要?jiǎng)h除的用戶名稱，點(diǎn)擊“刪除〞，確認(rèn)后，該用戶就被刪除了。注意：系統(tǒng)自帶的用戶管理員admin和審計(jì)員audit是不能被刪除的。更改密碼在用戶管理工具界面選擇要修改密碼的用戶名，點(diǎn)擊“修改密碼〞：〔1〕在對(duì)話框中輸入新密碼，并確認(rèn)該密碼后，點(diǎn)擊“確定〞可以更改該密碼；〔2〕點(diǎn)擊“取消〞那么保存原有密碼。注意：用戶管理員無(wú)權(quán)更改審計(jì)員的密碼。調(diào)整組權(quán)限用戶管理員可以調(diào)整管理員、操作員和分析員的權(quán)限。管理員權(quán)限調(diào)整：點(diǎn)擊調(diào)整組權(quán)限，然后點(diǎn)擊“管理員〞彈出如下對(duì)話框，可以在對(duì)話框中通過(guò)在口中打的方式授予該用戶組權(quán)限和不打的方式收回權(quán)限。圖4-4調(diào)整組權(quán)限注意：用戶管理員必須根據(jù)相關(guān)申請(qǐng)〔最好是書(shū)面形式存檔〕來(lái)調(diào)整組權(quán)限，用戶管理員在非授權(quán)的狀態(tài)下是不允許隨意調(diào)整用戶組權(quán)限和進(jìn)行其他形式的用戶管理操作的。用戶登錄失敗處理設(shè)定1、在用戶管理工具界面點(diǎn)擊“登錄失敗處理〞可以進(jìn)入配置界面：2、允許連續(xù)重試密碼次數(shù)設(shè)定，默認(rèn)為3次，審計(jì)員可以根據(jù)需要設(shè)定該次數(shù)。3、超出次數(shù)的處理方法：〔1〕不處理：選擇此種響應(yīng)方式，輸入出錯(cuò)后不會(huì)有任何影響。注意：假設(shè)選擇“不處理〞響應(yīng)方式，那么不能抵御暴力猜解工具對(duì)密碼的猜解?！?〕暫不響應(yīng)時(shí)間：默認(rèn)15秒。注意：選擇此種響應(yīng)方式能抵御暴力猜解工具對(duì)密碼的猜解，但是無(wú)法抵御人工方式的密碼猜解?！?〕鎖定帳號(hào)：鎖定該帳號(hào)，可以單獨(dú)為不同用戶權(quán)限的用戶設(shè)定鎖定的時(shí)間。設(shè)定多鑒別方式多鑒別方式是為用戶提供的采用自定義方式鑒別登錄的接口。用戶可以根據(jù)自身的軟硬件特點(diǎn)定義自己的登錄鑒別機(jī)制，還可以充分利用自身現(xiàn)有的軟硬件環(huán)境進(jìn)行用戶鑒別，比方用戶可以根據(jù)以下方式鑒別：ic卡系統(tǒng)，加密軟盤(pán)、動(dòng)態(tài)口令卡、usb狗等可移動(dòng)存儲(chǔ)器，特定的時(shí)間、計(jì)算配置、IP地址等。1、設(shè)定多鑒別方式：在用戶管理工具界面選擇動(dòng)態(tài)函數(shù)庫(kù)，在對(duì)話框中選擇與用戶需要的鑒別方式相關(guān)的動(dòng)態(tài)連接庫(kù)，然后點(diǎn)擊翻開(kāi)，這樣多鑒別方式界面中添加了所需要的動(dòng)態(tài)函數(shù)庫(kù)如下列圖4-5所示：圖4-5設(shè)定多鑒別方式2、然后在用戶管理工具界面點(diǎn)測(cè)試，可以彈出相應(yīng)的測(cè)試信息，以下是系統(tǒng)提供的測(cè)試用動(dòng)態(tài)連接庫(kù)顯示的測(cè)試信息。如圖4-6、4-7所示：圖4-6提示1圖4-7提示23、測(cè)試成功后多鑒別方式就可以使用了。注意：〔1〕動(dòng)態(tài)連接庫(kù)必須保存在平安的位置。〔2〕用戶如果需要自己開(kāi)發(fā)自用鑒別方式，請(qǐng)向啟明星辰公司索取接口技術(shù)文檔。審計(jì)員使用審計(jì)員主要工作職責(zé)是審計(jì)日志完整性檢查、查看用戶日志、用戶登錄出錯(cuò)記錄查看和為被鎖定用戶解鎖。注意：系統(tǒng)日志分3個(gè)局部：用戶日志、系統(tǒng)日志和事件日志?！?〕用戶日志：審計(jì)員可以審計(jì)到的日志，由審計(jì)員用可選審計(jì)工具指定生成?！惨?jiàn)下文可選審計(jì)配置說(shuō)明〕?！?〕系統(tǒng)日志：系統(tǒng)運(yùn)行中對(duì)系統(tǒng)運(yùn)行狀態(tài)的監(jiān)控日志，管理員可以在管理控制中心查看到?！?〕事件日志：是系統(tǒng)對(duì)被監(jiān)控網(wǎng)絡(luò)的報(bào)警記錄，該記錄可以在管理控制中心進(jìn)行分析、查詢，并提供了數(shù)據(jù)庫(kù)維護(hù)工具對(duì)其進(jìn)行維護(hù)。審計(jì)員登錄審計(jì)員使用用戶管理工具可以行使自己的權(quán)限，并完成自己的工作。具體登錄方式和用戶管理員的登錄方式相似，審計(jì)員默認(rèn)的用戶ID：Audit，密碼：venus60注意：登錄后一定要注意更改密碼，以免其他人登錄對(duì)系統(tǒng)造成危害。并注意定期更換自己的密碼、密碼長(zhǎng)度要超過(guò)6位、密碼一定不要設(shè)定為全數(shù)字或全部大寫(xiě)或全部小寫(xiě)等弱口令。審計(jì)完整性檢查用戶以審計(jì)員身份登錄后，點(diǎn)擊“審計(jì)完整性檢查〞可以自動(dòng)完成用戶審計(jì)日志的完整性檢查，并報(bào)告檢查結(jié)果。用戶日志查看選擇一個(gè)用戶，點(diǎn)擊“用戶日志〞彈出如下列圖4-8所示界面：圖4-8用戶日志查看1、在上圖中直接選擇要查看日志的起始時(shí)間和終止時(shí)間，然后點(diǎn)擊“顯示〞就可以顯示出該時(shí)間段內(nèi)所有用戶的操作日志。日志的內(nèi)容包括：日期、時(shí)間、用戶操作行為和備注信息記錄。2、如果用戶要輸出該查詢結(jié)果，可以先在可選審計(jì)配置中選擇好備份方式，然后在這里點(diǎn)擊“刪除〞，刪除前系統(tǒng)會(huì)強(qiáng)制要求做日志備份，將操作日志輸出到指定的文件。3、“說(shuō)明〞項(xiàng)告訴用戶一些查詢結(jié)果中特殊字符的意義。4、“查看備份日志〞項(xiàng)可以選擇查看用戶管理員備份出的用戶操作日志。可選審計(jì)配置可選審計(jì)配置項(xiàng)為審計(jì)員提供了更改審計(jì)項(xiàng)的生成規(guī)那么，可以幫助用戶管理員生成精簡(jiǎn)而且有審計(jì)意義的審計(jì)記錄。如圖4-9：圖4-9可選審計(jì)項(xiàng)1、審計(jì)員進(jìn)入用戶管理工具界面后點(diǎn)“可選審計(jì)配置〞進(jìn)入可選審計(jì)配置界面2、審計(jì)員可以在以上的配置管理界面中更改需要生成審計(jì)記錄的具體操作，生成審計(jì)記錄和去掉審計(jì)記錄的方式：〔1〕在可選審計(jì)項(xiàng)列表框中可以通過(guò)點(diǎn)每一個(gè)可選審計(jì)項(xiàng)前面的來(lái)展開(kāi)每個(gè)子審計(jì)工程?！?〕審計(jì)員可以通過(guò)的方式設(shè)定生成審計(jì)記錄，以及的方式取消審計(jì)記錄的生成。3、“日志滿〞的處理：〔1〕用戶意義在可選擇審計(jì)界面中設(shè)置審計(jì)日志報(bào)警的上限，也就是當(dāng)審計(jì)日志記錄到達(dá)設(shè)定值時(shí)，系統(tǒng)會(huì)以報(bào)警的方式提醒用戶“日志滿〞?！?〕日志滿的處理方式：當(dāng)審計(jì)員對(duì)審計(jì)日志進(jìn)行維護(hù)刪除時(shí)，對(duì)審計(jì)日志的處理方式有以下六種，審計(jì)員可以選擇應(yīng)用其中的一種。刪除全部日志刪除當(dāng)前用戶日志刪除所選時(shí)間段日志備份并刪除全部日志備份并刪除當(dāng)前用戶日志備份并刪除所選時(shí)間段日志注意：〔1〕審計(jì)日志是審計(jì)系統(tǒng)用戶平安合法操作的依據(jù)，審計(jì)員應(yīng)根據(jù)需要設(shè)定系統(tǒng)盡量多的生成審計(jì)記錄?！?〕為日志滿的處理方式設(shè)定條件，這決定著審計(jì)員查看用戶日志并刪除日志的方式。〔3〕審計(jì)日志的報(bào)警上限應(yīng)盡量大，以免產(chǎn)生頻繁的報(bào)警現(xiàn)象。用戶登錄出錯(cuò)記錄查看和被鎖定用戶的處理在用戶管理界面點(diǎn)擊“出錯(cuò)記錄〞會(huì)彈出如下列圖4-10所示對(duì)話框：圖4-10出錯(cuò)記錄〔1〕所有用戶的密碼出錯(cuò)記錄會(huì)顯示在左側(cè)，當(dāng)審計(jì)員確認(rèn)這些記錄后可以點(diǎn)擊去除，刪除所有出錯(cuò)記錄?！?〕在上圖中還可以查看到被鎖定的帳戶信息，并可以選擇相應(yīng)的合法用戶為其解除鎖定。注意：去除和解除鎖定都要在確認(rèn)該用戶的平安性之后進(jìn)行。管理控制中心管理控制中心為天清入侵防御系統(tǒng)的全部功能提供入口，而且可以直接的看到網(wǎng)絡(luò)設(shè)備的運(yùn)行與連接情況。可以掛接和管理多種組件，例如網(wǎng)絡(luò)引擎、顯示中心等。進(jìn)入管理控制中心單擊開(kāi)始→程序→啟明星辰→管理控制中心，如果您是第一次使用天清管理控制中心，會(huì)提示您輸入序列號(hào)〔序列號(hào)隨安裝光盤(pán)提供〕，此序列號(hào)是區(qū)分天清入侵防御系統(tǒng)單級(jí)管理和多級(jí)管理的標(biāo)準(zhǔn)，如果您輸入的是正確的序列號(hào)，會(huì)出現(xiàn)登錄界面，如圖5-1所示：圖5-1管理控制中心登錄界面分別填入合法的用戶名和用戶口令后點(diǎn)擊“確定〞，進(jìn)入管理控制界面。說(shuō)明：系統(tǒng)默認(rèn)管理員用戶名：adm，密碼：venus60。登錄管理控制中心必須是一個(gè)“可登錄〞的用戶，系統(tǒng)默認(rèn)的用戶“admin〞及“audit〞是不可以登錄控制中心的。相關(guān)內(nèi)容請(qǐng)參考用戶管理工具局部。在管理控制中心界面里用戶可以進(jìn)行系統(tǒng)的設(shè)置和組件管理〔如添加和刪除〕，調(diào)用顯示模塊和日志查詢工具，調(diào)用事件定義和策略編輯模塊，進(jìn)行數(shù)據(jù)庫(kù)維護(hù)和事件庫(kù)更新等。下面對(duì)界面的各個(gè)功能組件進(jìn)行介紹。菜單介紹系統(tǒng)設(shè)置1、連接設(shè)置：設(shè)置連接屬性，如圖5-2所示：圖5-2連接設(shè)置〔1〕控制中心效勞端口：設(shè)置控制中心的通信監(jiān)聽(tīng)端口。如果修改了控制中心效勞端口，就必須修改其他模塊的控制中心端口設(shè)置，例如顯示中心，使其和控制中心一致，這樣才能連接成功。〔2〕引擎效勞端口：設(shè)置網(wǎng)絡(luò)引擎的通信監(jiān)聽(tīng)端口。如果網(wǎng)絡(luò)引擎沒(méi)有改動(dòng)，用戶不要在這里隨意修改，否那么將無(wú)法連接網(wǎng)絡(luò)引擎。注意：這兩個(gè)數(shù)值用戶最好不要隨意進(jìn)行改動(dòng)，更不能修改為一個(gè)已經(jīng)使用的端口，以免造成不必要的麻煩?！?〕最多連接的顯示中心個(gè)數(shù)：這里設(shè)置本控制中心最多可以連接的顯示中心數(shù)，控制中心向顯示中心發(fā)送事件時(shí)，連接的顯示中心越多，顯示性能就越低，可能會(huì)造成事件喪失〔建議不超過(guò)10個(gè)〕?！?〕自動(dòng)連接所有組件：這里設(shè)置控制中心啟動(dòng)時(shí)是否自動(dòng)連接所有組件〔網(wǎng)絡(luò)引擎、顯示中心等〕，如果不打勾，需要用戶手動(dòng)連接各種組件。2、數(shù)據(jù)庫(kù)設(shè)置，如圖5-3所示：圖5-3數(shù)據(jù)庫(kù)設(shè)置在這里完成對(duì)數(shù)據(jù)庫(kù)的設(shè)置，天清的數(shù)據(jù)庫(kù)都是通過(guò)開(kāi)放式數(shù)據(jù)源ODBC進(jìn)行連接的，在系統(tǒng)安裝過(guò)程中的導(dǎo)入數(shù)據(jù)庫(kù)操作會(huì)自動(dòng)建立數(shù)據(jù)源CyberVisionSQL，所以用戶一般不需要單獨(dú)配置數(shù)據(jù)源，如果采用已有數(shù)據(jù)源，那么需要將數(shù)據(jù)源一項(xiàng)指向天清入侵防御系統(tǒng)數(shù)據(jù)庫(kù)的數(shù)據(jù)源名稱〔一般是CyberVisionSQL〕，用戶名寫(xiě)入訪問(wèn)數(shù)據(jù)庫(kù)的用戶名〔一般是sa〕和密碼，點(diǎn)擊測(cè)試連接，如果設(shè)置正確，系統(tǒng)會(huì)提示連接數(shù)據(jù)庫(kù)成功，并顯示數(shù)據(jù)庫(kù)版本。3、快速入庫(kù)設(shè)置：此項(xiàng)功能僅在天清入侵防御系統(tǒng)采用SQLServer作為系統(tǒng)數(shù)據(jù)庫(kù)時(shí)生效?？焖偃霂?kù)：為了系統(tǒng)在網(wǎng)絡(luò)流量很大的情況下保持事件日志不喪失，控制中心首先將事件日志寫(xiě)入臨時(shí)文件中，然后每隔一段時(shí)間就將這些文件中的內(nèi)容高速的寫(xiě)入數(shù)據(jù)庫(kù)。操作步驟如圖5-4：圖5-4快速入庫(kù)設(shè)置首先，需要在這個(gè)界面上設(shè)置一次插入最大條數(shù)〔即快速入庫(kù)模塊一次入庫(kù)的最大事件條數(shù)〕和最大延時(shí)時(shí)間〔快速入庫(kù)模塊每次入庫(kù)的時(shí)間間隔〕，二者只要滿足其一，就會(huì)執(zhí)行快速入庫(kù)。然后點(diǎn)擊“快速入庫(kù)〞按鈕，將會(huì)進(jìn)入快速入庫(kù)模塊，如下列圖5-5：圖5-5快速入庫(kù)可以按照以下步驟進(jìn)行快速入庫(kù)的各項(xiàng)詳細(xì)配置：〔1〕設(shè)置數(shù)據(jù)來(lái)源，即控制中心接收的事件日志的臨時(shí)文件存貯路徑?！?〕進(jìn)行SQLServer數(shù)據(jù)庫(kù)配置，即事件要寫(xiě)入的目標(biāo)數(shù)據(jù)庫(kù)?！?〕一般情況下，我們還需要選擇“自動(dòng)入庫(kù)〞，這樣程序會(huì)實(shí)時(shí)檢測(cè)此路徑下的數(shù)據(jù)文件并入庫(kù)，如果不選擇此項(xiàng)，事件日志就不能實(shí)時(shí)寫(xiě)入數(shù)據(jù)庫(kù)，需要用戶在必要的時(shí)候執(zhí)行手工入庫(kù)?！?〕如果在“自動(dòng)啟動(dòng)〞處打勾，那么快速入庫(kù)模塊會(huì)在計(jì)算機(jī)啟動(dòng)時(shí)自動(dòng)啟動(dòng)?！?〕這些設(shè)置完成后，點(diǎn)擊“保存配置〞會(huì)將這些配置保存起來(lái)。操作日志會(huì)記錄每次入庫(kù)的信息，包括入庫(kù)時(shí)間和入庫(kù)事件條數(shù)等，操作日志可以保存。最后，快速入庫(kù)啟動(dòng)后，可以將其最小化，然后在控制中心快速入庫(kù)設(shè)置界面點(diǎn)擊“確定〞即可。注意：此菜單不能退出，否那么將不能進(jìn)行快速入庫(kù)。4、SNMP設(shè)置。如圖5-6所示：圖5-6SNMP設(shè)置在這里設(shè)置是否發(fā)送SNMPTrap響應(yīng)、SNMP版本、端口號(hào)以及接收trap消息的IP地址。注意：如果某個(gè)事件的響應(yīng)策略設(shè)置了snmp報(bào)警，這里選擇發(fā)送SNMPTrap響應(yīng)，事件發(fā)生時(shí)就可以向SNMP終端發(fā)送報(bào)警信息。5、遠(yuǎn)程報(bào)警設(shè)置，設(shè)置郵件和windows消息報(bào)警的相關(guān)配置，如圖5-7所示：圖5-7遠(yuǎn)程報(bào)警設(shè)置〔1〕點(diǎn)擊添加收信人的電子郵件地址或接收Windows消息的計(jì)算機(jī)名稱?！?〕點(diǎn)擊刪除在“通訊本〞中選定的收信人〔3〕點(diǎn)擊修改在“通訊本〞中選定的收信人的相關(guān)信息，界面如圖5-8所示：圖5-8修改選定的收信人信息電子郵件：填寫(xiě)接收?qǐng)?bào)警消息的郵箱地址計(jì)算機(jī)名：填寫(xiě)接收windows消息報(bào)警信息的計(jì)算機(jī)名稱或者IP地址“通訊本〞中的人員必須要添加到“消息接收者中〞才能接收郵件或消息。點(diǎn)擊將“通訊本〞中選中的人員添加到“消息接收者中〞，如果還未進(jìn)行郵件發(fā)送效勞器設(shè)置，彈出的對(duì)話框中電子郵件一欄為灰色，否那么將這一欄打勾開(kāi)啟郵件遠(yuǎn)程報(bào)警功能，如果該人員的地址信息中寫(xiě)入了計(jì)算機(jī)名，WinPopup消息一欄打勾就可以發(fā)送Windows的message消息了。如圖5-9所示：圖5-9創(chuàng)立消息接收者“設(shè)置〞選項(xiàng)卡的界面如圖5-10所示：圖5-10“設(shè)置〞選項(xiàng)卡的界面這里必須填寫(xiě)發(fā)送郵件效勞器地址、端口和發(fā)送郵箱等，填入正確的發(fā)件人信息后點(diǎn)擊“保存〞就可以了，可以通過(guò)“測(cè)試郵件發(fā)送〞來(lái)測(cè)試發(fā)送郵件是否成功。如果不成功請(qǐng)檢查發(fā)送郵件效勞器地址和發(fā)送郵箱是否填寫(xiě)正確，是否使用了SMTP認(rèn)證以及認(rèn)證密碼是否正確。注意：某些情況下，瑞星殺毒軟件的郵件監(jiān)控系統(tǒng)或McAFee殺毒軟件可能會(huì)屏蔽掉天清入侵防御系統(tǒng)的郵件報(bào)警信息，如果使用入侵事件的郵件報(bào)警而發(fā)現(xiàn)沒(méi)有收到報(bào)警郵件，請(qǐng)嘗試關(guān)閉瑞星的郵件監(jiān)控或者選擇McAFee的禁用按掃描訪問(wèn)?！跋⒔邮照擗曔x項(xiàng)卡的界面顯示的是接收郵件或消息的人員。如果某個(gè)事件的響應(yīng)策略設(shè)置了郵件報(bào)警，這里設(shè)置了正確的郵件效勞器和消息接收者，事件發(fā)生時(shí)就可以以郵件的形式發(fā)送報(bào)警信息?！叭罩鲸曔x項(xiàng)卡的界面顯示的是發(fā)送郵件的情況。6、修改口令：修改當(dāng)前登陸用戶的密碼7、授權(quán)管理：調(diào)用授權(quán)管理界面，在這里可以查看和申請(qǐng)某個(gè)設(shè)備的使用授權(quán)，如圖5-11圖5-11上圖中列出了兩個(gè)設(shè)備，都是網(wǎng)絡(luò)引擎，其中一臺(tái)是試用引擎，期限是一個(gè)月，在這期間，控制中心可以連接和使用這個(gè)引擎；另一臺(tái)未經(jīng)授權(quán)，所以控制中心無(wú)法連接和使用這個(gè)引擎。默認(rèn)的引擎都是試用引擎，授權(quán)期限是一個(gè)月，過(guò)期將不能連接使用。對(duì)于正式出貨的產(chǎn)品，出廠時(shí)會(huì)在配件盒中附帶一個(gè)正式授權(quán)〔文件或序列號(hào)形式〕，在這個(gè)界面點(diǎn)擊"手工錄入授權(quán)"可以輸入授權(quán)序列號(hào)，或者點(diǎn)擊"導(dǎo)入授權(quán)文件"來(lái)導(dǎo)入文件〔二者輸入一個(gè)即可〕。如果需要申請(qǐng)正式授權(quán)，需要在試用期內(nèi)在相應(yīng)的引擎上打勾，然后點(diǎn)擊"導(dǎo)出授權(quán)文件"的按鈕，將導(dǎo)出的授權(quán)文件發(fā)送給啟明星辰公司。8、序列號(hào)管理：查看和管理天清管理控制中心的序列號(hào)，當(dāng)序列號(hào)過(guò)期時(shí)，可以在這里進(jìn)行更新。序列號(hào)主要用于控制控制中心的使用權(quán)限，包括控制中心合法性、使用時(shí)間、可升級(jí)時(shí)間等。7、退出：退出控制中心。視圖選擇調(diào)用各種模塊，包括顯示中心等。組件管理1、增加組件：為系統(tǒng)拓?fù)湓黾咏M件〔引擎、子控、顯示中心〕，在彈出界面中選擇好所要添加的組件類型，并且填入正確的IP地址。2、刪除組件：選定要?jiǎng)h除的組件，點(diǎn)擊確定按鈕即可刪除該組件。3、連接組件：建立選中組件和控制中心的連接4、斷開(kāi)組件：斷開(kāi)選中組件和控制中心的連接5、聯(lián)動(dòng)設(shè)置：這里可以配置天清與防火墻或者SNMP效勞器的聯(lián)動(dòng)設(shè)置。1〕防火墻聯(lián)動(dòng)配置界面如下列圖5-12所示：圖5-12聯(lián)動(dòng)列表左上角的是一個(gè)下拉框，可以在這里選擇跟防火墻聯(lián)動(dòng)的IPS引擎。中間的空白窗口顯示已經(jīng)配置好的聯(lián)動(dòng)防火墻列表，可以通過(guò)添加、修改、刪除按鈕來(lái)維護(hù)該列表：添加聯(lián)動(dòng)防火墻：點(diǎn)擊“添加〞進(jìn)入防火墻配置窗口，如圖5-13圖5-13聯(lián)動(dòng)配置聯(lián)動(dòng)設(shè)備：選擇要進(jìn)行聯(lián)動(dòng)的防火墻類型，topsec是天融信防火墻，vip_fw是所有支持VIP協(xié)議的防火墻〔共有30多家〕，opsec針對(duì)checkpoint防火墻，netscreen那么是netscreen防火墻。地址：在這里填寫(xiě)跟IPS聯(lián)動(dòng)的防火墻IP地址。端口：在這里填寫(xiě)防火墻端用于跟IPS進(jìn)行聯(lián)動(dòng)的效勞端口號(hào)。密鑰文件：就是防火墻跟IPS實(shí)現(xiàn)聯(lián)動(dòng)的時(shí)候需要驗(yàn)證的私鑰，由防火墻廠商提供。目前聯(lián)動(dòng)需要密鑰認(rèn)證的防火墻只有netscreen和topsec兩家。修改：在設(shè)備列表選中需要修改的防火墻設(shè)備，點(diǎn)擊“修改〞可以對(duì)該設(shè)備的相關(guān)配置〔除了設(shè)備類型〕。刪除：在設(shè)備列表選中需要修改的防火墻設(shè)備，點(diǎn)擊“刪除〞即可刪除該設(shè)備。可以設(shè)置和多個(gè)防火墻進(jìn)行聯(lián)動(dòng)，只要將這些設(shè)備依次添加到這里即可。點(diǎn)擊確定后密鑰文件會(huì)下發(fā)到網(wǎng)絡(luò)引擎。如果某個(gè)事件的響應(yīng)策略設(shè)置了防火墻聯(lián)動(dòng)，那么事件發(fā)生時(shí)就會(huì)引起相應(yīng)的防火墻進(jìn)行聯(lián)動(dòng)。6、組件屬性，在這里可以對(duì)選擇的組件屬性進(jìn)行修改和查看。1〕下列圖是網(wǎng)絡(luò)引擎的屬性窗口：圖5-14引擎屬性根本：在這里可以修改設(shè)備的根本屬性，同時(shí)也可以查看該設(shè)備的版本信息；系統(tǒng)狀態(tài)：查看引擎的CPU、內(nèi)存使用狀況；存儲(chǔ)設(shè)備：查看引擎的物理存儲(chǔ)空間使用情況；業(yè)務(wù)數(shù)據(jù)統(tǒng)計(jì)：顯示該引擎產(chǎn)生的報(bào)警事件、tcp_session統(tǒng)計(jì)數(shù)；進(jìn)程狀態(tài)：可以查看到IPS引擎的關(guān)鍵進(jìn)程的運(yùn)行狀態(tài)，進(jìn)程名稱、狀態(tài)、CPU占用、內(nèi)存占用、運(yùn)行時(shí)間等信息；內(nèi)核版本：可以查看IPS引擎的各個(gè)模塊的版本號(hào)、最后修改時(shí)間等信息。2〕下列圖是顯示中心的屬性窗口：圖5-15顯示中心組件屬性根本：這里可以查看或修改顯示中心組件名稱、IP地址、位置等信息；事件過(guò)濾設(shè)置：在這里可以設(shè)置一些條件來(lái)規(guī)定顯示中心接收或者不接收某些事件，可設(shè)定的條件包括引擎設(shè)備、事件危險(xiǎn)級(jí)別、協(xié)議分類等，通過(guò)“添加pattern〞來(lái)實(shí)現(xiàn)。7、上報(bào)頻度，如圖5-16所示：圖5-16上報(bào)頻度設(shè)置網(wǎng)絡(luò)引擎每秒上報(bào)的事件數(shù)。如果網(wǎng)絡(luò)上數(shù)據(jù)流量過(guò)大，網(wǎng)絡(luò)引擎每秒上報(bào)的事件數(shù)過(guò)大，將會(huì)導(dǎo)致控制中心的數(shù)據(jù)處理能力〔入庫(kù)、顯示〕降低。這時(shí)，用戶可以在這里進(jìn)行上報(bào)頻度的限制。當(dāng)然，我們推薦的方式是精簡(jiǎn)正在使用的策略集，同時(shí)進(jìn)行事件合并，而不是在這里限制上報(bào)頻度。8、分級(jí)顯示：進(jìn)行多級(jí)管理時(shí)，可以在這里設(shè)置在拓?fù)鋱D上顯示哪些子控及其組件。9、刷新組件：使顯示中心及其報(bào)表中的組件信息與控制中心的組件信息保持同步。分級(jí)管理1、本級(jí)設(shè)置：對(duì)本級(jí)主控的工作內(nèi)容進(jìn)行設(shè)置，如圖5-17所示：圖5-17本級(jí)設(shè)置各項(xiàng)含義如下：〔1〕允許上級(jí)連接：允許上級(jí)控制中心連接本級(jí)控制中心?！?〕本級(jí)控制中心：a、組件控制管理：允許在上級(jí)控制中心管理本機(jī)控制中心的組件，例如為本級(jí)控制中心添加刪除網(wǎng)絡(luò)引擎、子控等。b、特征事件更新：接受上級(jí)控制中心下發(fā)的事件升級(jí)文件，即發(fā)送給本級(jí)的事件升級(jí)包，并進(jìn)行事件庫(kù)升級(jí)。c、策略任務(wù)導(dǎo)入：接收上級(jí)控制中心下發(fā)的策略集或任務(wù)，將其添加到本級(jí)策略集或任務(wù)中。d、軟件版本升級(jí)：接收上級(jí)的軟件升級(jí)包，并進(jìn)行升級(jí)。如果此項(xiàng)沒(méi)有選擇，上級(jí)的軟件升級(jí)包能發(fā)到本級(jí)控制中心，但是本級(jí)不能自動(dòng)升級(jí)?！?〕本級(jí)所屬引擎：a、策略任務(wù)應(yīng)用：將接收到的上級(jí)控制中心下發(fā)的策略或任務(wù)文件轉(zhuǎn)發(fā)給所屬網(wǎng)絡(luò)引擎。b、引擎版本升級(jí)：將接收到的網(wǎng)絡(luò)引擎升級(jí)包下發(fā)給所屬網(wǎng)絡(luò)引擎。2、下級(jí)設(shè)置：對(duì)下級(jí)子控需要上報(bào)的內(nèi)容進(jìn)行設(shè)置〔需要首先鼠標(biāo)選中一個(gè)子控中心才能進(jìn)行下級(jí)設(shè)置〕，見(jiàn)圖5-18〔1〕上報(bào)選擇：為后面的幾個(gè)屬性頁(yè)設(shè)置公共條件，即接收或不接收下級(jí)控制中心的指定事件。〔2〕特征事件：選擇需要接收的特征事件類型。如圖5-18所示：圖5-18下級(jí)設(shè)置-特征事件設(shè)置同步子控日志：如果選中，那么顯示時(shí)間選擇框，選擇好要同步的特征事件的時(shí)間段，點(diǎn)擊同步按鈕可以將選中的子控特征事件同步到主控的數(shù)據(jù)庫(kù)中。這里同步的只是上面的條件設(shè)定的事件類型，不一定是所有事件。3、全局預(yù)警，詳見(jiàn)“10.全局預(yù)警〞局部的介紹。策略任務(wù)入侵防御〔1〕策略編輯：調(diào)用策略編輯界面，詳見(jiàn)“6.策略編輯〞局部的介紹?！?〕合并設(shè)置：如圖5-19所示，設(shè)置網(wǎng)絡(luò)引擎進(jìn)行事件合并的時(shí)間周期和最多合并次數(shù)〔進(jìn)行合并的事件到達(dá)這個(gè)設(shè)定的次數(shù)就進(jìn)行上報(bào)，然后重新統(tǒng)計(jì)合并〕。兩個(gè)條件之間是“或〞的關(guān)系，只要有一個(gè)滿足就進(jìn)行合并上報(bào)。圖5-19合并設(shè)置合并是指當(dāng)同樣一個(gè)事件連續(xù)發(fā)生屢次的時(shí)候，控制中心不會(huì)每條事件都產(chǎn)生一條報(bào)警信息，而是先將第一次事件作為一條報(bào)警信息顯示在“綜合顯示中心〞上，并對(duì)后邊的連續(xù)事件進(jìn)行統(tǒng)計(jì)，直到合并周期結(jié)束時(shí)再將合并的結(jié)果作為一條事件報(bào)警〔報(bào)警內(nèi)容包括事件名稱、事件次數(shù)等〕，另外，假設(shè)在未滿合并周期之前事件統(tǒng)計(jì)數(shù)就超過(guò)了設(shè)置的“最多合并次數(shù)〞，那么也會(huì)產(chǎn)生一條報(bào)警。合并的作用主要在于防止“海量事件〞，提高報(bào)警信息的可讀性，另外也減輕綜合顯示中心的顯示壓力?！?〕策略下發(fā)：選擇好策略文件后點(diǎn)擊確定后就可以將策略下發(fā)到網(wǎng)絡(luò)引擎上了?！?〕動(dòng)態(tài)策略：調(diào)用動(dòng)態(tài)策略設(shè)置界面，詳細(xì)的使用介紹參考“7.動(dòng)態(tài)策略〞局部?jī)?nèi)容?！?〕事件定義：與菜單欄上的事件定義按鈕相同，詳細(xì)的使用介紹參考“8.事件自定義〞局部?jī)?nèi)容。日志管理1、日志分析中心：進(jìn)入日志分析中心的界面，對(duì)事件日志進(jìn)行查詢和結(jié)果導(dǎo)出，詳見(jiàn)“12.日志分析中心〞局部的介紹。2、日志維護(hù)：進(jìn)入日志維護(hù)界面，可以進(jìn)行數(shù)據(jù)庫(kù)的各種維護(hù)操作。詳見(jiàn)“13.日志維護(hù)〞局部的介紹。更新升級(jí)1、入侵防御：包括手動(dòng)更新、自動(dòng)更新和更新設(shè)置等三個(gè)菜單，這三項(xiàng)的使用說(shuō)明詳見(jiàn)“9.事件更新〞局部的介紹。2、引擎升級(jí)：選擇好需要升級(jí)的網(wǎng)絡(luò)引擎后點(diǎn)擊“引擎升級(jí)〞，進(jìn)入該界面，選擇升級(jí)包后點(diǎn)擊“確定〞即可完成網(wǎng)絡(luò)引擎的升級(jí)。常用工具1、網(wǎng)絡(luò)校時(shí)：提供網(wǎng)絡(luò)校時(shí)工具，可以將控制中心的時(shí)間和指定的網(wǎng)絡(luò)時(shí)間效勞器進(jìn)行同步，使其更加準(zhǔn)確，界面見(jiàn)圖5-20。圖5-20網(wǎng)絡(luò)校時(shí)在此界面上有一個(gè)默認(rèn)的時(shí)間效勞器，用戶還可以填入其它的時(shí)間效勞器地址。然后點(diǎn)擊同步按鈕，就可以對(duì)本機(jī)時(shí)間進(jìn)行修正了。如果控制中心下面連接了子控和網(wǎng)絡(luò)引擎，校時(shí)完成后會(huì)對(duì)子控和網(wǎng)絡(luò)引擎的時(shí)間自動(dòng)進(jìn)行同步。工具欄介紹1、增加新的組件。2、刪除組件。3、連接組件。4、斷開(kāi)組件。5、修改用戶的登陸口令。6、了解系統(tǒng)的版本信息和技術(shù)支持信息7、進(jìn)入報(bào)警顯示中心界面。8、進(jìn)入全局預(yù)警界面9、進(jìn)入特征事件策略編輯界面10、進(jìn)入特征事件定義界面11、進(jìn)入日志維護(hù)界面12、進(jìn)入事件更新界面13、預(yù)警顯示燈：如果有預(yù)警信息，這個(gè)燈會(huì)進(jìn)行閃爍，直到用戶查看了預(yù)警信息為止。右鍵菜單組件操作在控制中心的組件狀態(tài)顯示欄〔或拓?fù)浣Y(jié)構(gòu)圖上〕，選擇一個(gè)連接的組件，會(huì)顯示右鍵菜單，根據(jù)組件類型的不同，右鍵菜單的內(nèi)容也有所不同，在這里，您可以方便的對(duì)組件進(jìn)行相關(guān)操作。例如，您選擇了某個(gè)網(wǎng)絡(luò)引擎，其右鍵菜單如圖5-21所示：圖5-21組件操作連接：可以通過(guò)這里來(lái)手動(dòng)建立控制中心和選中引擎的連接；斷開(kāi)：手動(dòng)斷開(kāi)控制中心跟引擎之間的連接。重啟：通過(guò)控制中心重啟IPS引擎?！踩绻窃诰€應(yīng)用的IPS引擎，重啟操作要慎重，因?yàn)樵谥貑⑦^(guò)程中會(huì)造成網(wǎng)絡(luò)的短暫中斷〕響應(yīng)策略下發(fā)：可以從這里快捷的向選中引擎下發(fā)監(jiān)控策略。關(guān)閉流量功能：遠(yuǎn)程關(guān)閉IPS引擎的流量統(tǒng)計(jì)功能。設(shè)備斷開(kāi)情況統(tǒng)計(jì)：統(tǒng)計(jì)控制中心跟引擎之間的連接斷開(kāi)情況，包括斷開(kāi)類型〔手動(dòng)/自動(dòng)〕、斷開(kāi)的持續(xù)時(shí)間等信息，如下列圖：圖5-22設(shè)備斷開(kāi)情況統(tǒng)計(jì)聯(lián)動(dòng)設(shè)置：配置IPS跟防火墻聯(lián)動(dòng)的相關(guān)設(shè)置，詳細(xì)配置方法見(jiàn)“5.2.3組件管理〞局部?jī)?nèi)容。上報(bào)頻度：設(shè)置選中IPS引擎的每秒最多上報(bào)的事件數(shù)量，見(jiàn)“5.2.3組件管理〞局部介紹引擎升級(jí)：通過(guò)控制中心向引擎下發(fā)引擎升級(jí)包，升級(jí)包的格式為pack，引擎接收后會(huì)自動(dòng)完成升級(jí)過(guò)程。計(jì)數(shù)清零：在控制中心下方的“組件狀態(tài)〞標(biāo)簽頁(yè)中有一欄“其它〞，這里顯示引擎上報(bào)給控制中心的數(shù)據(jù)量或者控制中心分發(fā)給顯示中心的數(shù)據(jù)量，數(shù)據(jù)中主要包含網(wǎng)絡(luò)攻擊事件條數(shù)、流量事件條數(shù)等。計(jì)數(shù)清零就是將“其它〞欄中顯示的統(tǒng)計(jì)數(shù)字清空。SQL注入保護(hù)Web效勞器設(shè)置：設(shè)置作為目的Web效勞器的IP地址和數(shù)據(jù)庫(kù)類型，其中效勞器的IP地址和數(shù)據(jù)庫(kù)類型為與的關(guān)系。添加好參數(shù)后，引擎將只對(duì)與參數(shù)匹配的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行SQL注入檢測(cè)，提高了引擎的工作效率。目前IPS支持的了MSSQL、Oracle等常見(jiàn)的數(shù)據(jù)庫(kù)類型，對(duì)于采用其他類型數(shù)據(jù)庫(kù)的Web效勞器〔如Mysql、Access、DB2、Informixd等〕，可以選擇“其它〞，IPS針對(duì)“其它〞類型數(shù)據(jù)庫(kù)的訪問(wèn)行為采取通用的數(shù)據(jù)庫(kù)注入模式進(jìn)行SQL注入檢測(cè)。圖5-23Web效勞器設(shè)置〔3〕引擎屬性，見(jiàn)“5.2.3組件管理〞局部介紹在控制中心，可以設(shè)置向每個(gè)顯示中心發(fā)送的事件類型，右鍵點(diǎn)擊顯示中心組件，可以設(shè)置屬性，設(shè)置方法和顯示中心的窗口屬性設(shè)置類似，可以參見(jiàn)“5.2.3組件管理〞局部介紹。如圖5-24所示圖5-24設(shè)置向顯示中心發(fā)送的事件屬性拓?fù)湔{(diào)整如果用戶采用多級(jí)管理結(jié)構(gòu)，組件繁多，可以利用拓?fù)鋱D的收縮和排序功能進(jìn)行顯示。在拓?fù)浣Y(jié)果圖上的空白處點(diǎn)擊右鍵，出現(xiàn)如下列圖5-25菜單：圖5-25拓?fù)湔{(diào)整1、點(diǎn)擊“收縮〞，會(huì)將每個(gè)控制中心下面的組件收縮到這個(gè)控制中心的圖標(biāo)下面，這樣用戶能查看更為簡(jiǎn)潔的拓?fù)浣Y(jié)構(gòu)。如圖5-26、5-27所示：圖5-26收縮前圖5-27收縮后2、點(diǎn)擊“展開(kāi)〞，可以將收縮過(guò)的圖標(biāo)再次展開(kāi)到原始狀態(tài)。3、點(diǎn)擊“自動(dòng)排列設(shè)置〞，可以設(shè)置圖標(biāo)的大小和間距，如圖5-28：圖5-28圖標(biāo)自動(dòng)排列設(shè)置設(shè)置后，點(diǎn)擊“確定〞按鈕圖標(biāo)會(huì)按照設(shè)置進(jìn)行自動(dòng)排列。4、點(diǎn)擊“自動(dòng)排列〞，圖標(biāo)會(huì)按照系統(tǒng)默認(rèn)的設(shè)置進(jìn)行自動(dòng)排列。另外，雙擊某個(gè)控制中心的圖標(biāo)，這個(gè)控制中心下面的所有組件也會(huì)收縮起來(lái)，其他的控制中心保持不變。主界面上的其它局部上面已經(jīng)介紹了主菜單、工具欄按鈕和右鍵菜單，下面以圖5-26為例，分別介紹各局部作用。1、左側(cè)組件結(jié)構(gòu)樹(shù)：顯示本控制中心連接的各種組件以及他們之間的關(guān)系結(jié)構(gòu)。2、右側(cè)拓?fù)浣Y(jié)構(gòu)圖：顯示本控制中心連接的各種組件以及他們之間的關(guān)系，以箭頭形式顯示數(shù)據(jù)流向，同時(shí)實(shí)時(shí)顯示各個(gè)組件之間的連接狀態(tài)，連接狀態(tài)用實(shí)線表示，斷開(kāi)狀態(tài)用虛線表示。3、下方組件狀態(tài)窗口：顯示各組件的連接狀態(tài)，如果一個(gè)組件處于連接狀態(tài)，它前面的圖標(biāo)就是綠色的，如果正在試圖連接，圖標(biāo)是黃色的，如果是斷開(kāi)狀態(tài)，圖標(biāo)是紅色的。在這里也可以利用右鍵菜單對(duì)各個(gè)組件進(jìn)行操作。4、業(yè)務(wù)曲線窗口：顯示各網(wǎng)絡(luò)引擎的網(wǎng)卡流量曲線，如圖5-29所示：圖5-29業(yè)務(wù)曲線窗口5、工作日志窗口：您在這里可以查看控制中心啟動(dòng)后的工作狀態(tài)和各種操作的進(jìn)行狀態(tài)，工作日志可以保存。如圖5-30所示：圖5-30工作日志窗口策略編輯簡(jiǎn)介策略是入侵防御系統(tǒng)的核心組成局部，是識(shí)別攻擊事件的依據(jù)，策略定義的嚴(yán)謹(jǐn)程度關(guān)系到入侵防御系統(tǒng)的工作效率和攻擊防御效果。策略設(shè)置可以說(shuō)是在使用過(guò)程中最關(guān)鍵的步驟，用戶應(yīng)該根據(jù)自己網(wǎng)絡(luò)的情況來(lái)詳細(xì)制定對(duì)網(wǎng)絡(luò)事件的響應(yīng)策略。本系統(tǒng)提供了幾個(gè)默認(rèn)策略集合〔系統(tǒng)策略集〕，系統(tǒng)策略集是不可以更改的。開(kāi)始使用入侵防御系統(tǒng)時(shí)，用戶可以使用某個(gè)系統(tǒng)事件集，但是為了提高檢測(cè)效率，用戶需要逐步修改策略集，從中增加或刪除掉一些事件，甚至修改某些事件的響應(yīng)方式，以適應(yīng)用戶環(huán)境。如果用戶要制定自己的響應(yīng)策略就要從默認(rèn)策略集中衍生出新的策略集，然后在這個(gè)用戶自定義策略集中進(jìn)行修改。進(jìn)入策略編輯器進(jìn)入天清入侵防御系統(tǒng)管理控制中心界面。點(diǎn)擊工具欄中的特征事件策略按鈕，或者點(diǎn)擊菜單中的策略任務(wù)→入侵防御→策略編輯，都可以進(jìn)入圖6-1所示的策略編輯界面：圖6-1策略編輯策略集分為系統(tǒng)策略集及用戶自定義策略集兩類。系統(tǒng)策略集分類1、按影響的操作系統(tǒng)分類〔1〕Windows事件集〔2〕Unix事件集2、按針對(duì)的應(yīng)用分類〔1〕Web事件集〔網(wǎng)站相關(guān)的攻擊事件〕〔2〕Mail事件集〔郵件系統(tǒng)相關(guān)的攻擊事件〕3、按事件的性質(zhì)分類〔1〕攻擊分析集〔定義各種攻擊事件，涵蓋了當(dāng)前可能的各種攻擊特征〕〔2〕協(xié)議分析集〔定義各種審計(jì)事件，網(wǎng)管人員可以使用它作為網(wǎng)絡(luò)輔助分析使用，此策略集可能會(huì)產(chǎn)生大量的事件〕4、按事件的流行性分類熱點(diǎn)事件集〔包含最新最流行的攻擊事件〕5、按事件的更新的時(shí)間分類〔1〕陳舊事件集〔本次升級(jí)刪除掉的事件集合〕〔2〕增量升級(jí)事件集〔本次升級(jí)新增加的事件集合〕6、IPS推薦策略〔1〕串行保護(hù)策略集說(shuō)明：〔1〕系統(tǒng)策略是系統(tǒng)固有的策略，不可以進(jìn)行編輯、刪除及重命名?！?〕用戶自定義策略為系統(tǒng)固有策略的衍生策略，可以由用戶更改，例如修改策略響應(yīng)方式，重命名及進(jìn)行刪除等操作。界面按鈕功能策略向?qū)?，利用向?qū)勺远x策略集：1、查看策略：選中一個(gè)系統(tǒng)策略集，并點(diǎn)擊“查看策略〞按鈕，系統(tǒng)自動(dòng)翻開(kāi)策略編輯器。由于是系統(tǒng)策略，所以在策略編輯器中是只讀模式。2、編輯策略：選中一個(gè)衍生策略，原“查看策略〞按鈕自動(dòng)變成“編輯策略〞，點(diǎn)擊編輯策略，系統(tǒng)自動(dòng)翻開(kāi)策略編輯器供用戶查看和編輯。3、衍生策略：選中一個(gè)策略集，點(diǎn)擊衍生策略，用戶指定策略集名稱就能衍生一個(gè)和原來(lái)策略集完全相同的策略集，用戶可在衍生策略集中進(jìn)行修改，生成一個(gè)適宜的可用策略集。4、重命名：為一個(gè)衍生策略集重新命名5、注意：系統(tǒng)策略集不能被重命名。6、刪除：當(dāng)一個(gè)衍生策略集今后不再被應(yīng)用時(shí)，我們可以將其刪除。注意：系統(tǒng)策略集不能被刪除。7、導(dǎo)出策略：將選中的策略集以文件形式導(dǎo)出到某個(gè)目錄下。8、策略集操作：用戶可以對(duì)策略集進(jìn)行一些集合的操作，比方交、并等，從而生成另外的滿足用戶需求的策略集。注意：策略集操作是以策略中的事件名稱為關(guān)鍵點(diǎn)來(lái)進(jìn)行的，而其他的策略設(shè)置〔如響應(yīng)方式、合并方式等〕，假設(shè)同一事件在2個(gè)根底事件集中的設(shè)置不一致，那么以第一個(gè)策略集中的設(shè)置為準(zhǔn)。如策略集1中包含ICMP_ping事件，其響應(yīng)方式為報(bào)警+日志，策略集2中也包含ICMP_ping事件，其響應(yīng)方式為報(bào)警+日志+串行丟包阻斷，假設(shè)進(jìn)行策略集1并策略集2操作，那么新策略中的ICMP_ping事件的響應(yīng)方式為報(bào)警+日志。9、關(guān)閉：關(guān)閉策略集選擇界面，退出策略編輯。如何生成用戶策略這局部是策略編輯的重點(diǎn)，每個(gè)用戶都需要根據(jù)網(wǎng)絡(luò)環(huán)境自定義網(wǎng)絡(luò)引擎需要使用策略集。生成自定義策略集有三種方式：通過(guò)策略向?qū)?、由已有策略集衍生、由原有策略集做集合運(yùn)算〔交、并等〕得到。1、通過(guò)策略向?qū)桑哼@種方式生成的策略集合是最嚴(yán)密和精細(xì)的，用戶甚至可以對(duì)事件逐一進(jìn)行取舍。但生成的策略集響應(yīng)方式是默認(rèn)的，需要用戶自己進(jìn)行修改。點(diǎn)擊“策略編輯〞中的策略向?qū)?，彈出界面如圖6-2所示：圖6-2策略向?qū)г谶@里用戶可根據(jù)自己的需要來(lái)選擇事件，也可以通過(guò)“全選中〞選框?qū)⑺械氖录x定，選好后點(diǎn)擊“生成〞，輸入策略集的名稱，如圖6-3所示：圖6-3輸入策略集的名稱窗口點(diǎn)擊“確定〞，系統(tǒng)會(huì)自動(dòng)生成策略，此時(shí)你會(huì)在用戶自定義策略集中看到剛剛定義的策略集。如圖6-4所示：圖6-4用戶策略生成完畢2、通過(guò)“衍生策略〞生成用戶自定義策略：這種方式能生成和某個(gè)已有策略集同樣的策略集，主要是為了在衍生策略集中修改某些事件的響應(yīng)方式。首先進(jìn)入策略編輯界面，然后選中一個(gè)系統(tǒng)策略或者一個(gè)用戶自定義策略。例如選中“web事件集〞后，點(diǎn)擊“衍生策略〞，保存后重新進(jìn)入策略編輯你就可以在用戶自定義策略集中看到一個(gè)名字是“WEB事件集衍生策略〞的用戶策略了。說(shuō)明：之所以要衍生系統(tǒng)策略是因?yàn)橄到y(tǒng)策略是由系統(tǒng)定義好的，用戶是不可以編輯的，如要對(duì)其進(jìn)行編輯，首先就要將其衍生為一個(gè)用戶自定義策略。另外，用戶也可以對(duì)自定義策略集進(jìn)行衍生。3、通過(guò)策略集操作：策略集操作就是將兩個(gè)策略集進(jìn)行“交〞〔取兩個(gè)策略集所共有的局部〕、“并〞〔將兩個(gè)策略集進(jìn)行合并〕和“減〞〔找出第一個(gè)策略集所獨(dú)有的局部〕。策略集操作的步驟如下：〔1〕進(jìn)入策略編輯界面，點(diǎn)擊策略集操作?！?〕選擇策略集，以及操作條件，點(diǎn)擊進(jìn)行。如圖6-5所示，兩個(gè)策略集進(jìn)行交集操作時(shí)，對(duì)于同一事件的響應(yīng)方式和過(guò)濾條件以主策略集中的為準(zhǔn)。圖6-5集合操作〔3〕為新的策略命名，選擇劃分標(biāo)準(zhǔn)，點(diǎn)擊“確定〞。如圖6-6所示：圖6-6為新的策略命名這樣在用戶自定義策略集中就會(huì)出現(xiàn)一個(gè)新的策略集了，策略集名稱為：熱點(diǎn)并攻擊。編輯/查看策略查看策略1、當(dāng)用戶在策略編輯器中選擇一個(gè)系統(tǒng)策略集的時(shí)候，右邊的第二個(gè)按鈕是“查看策略〞。當(dāng)用戶在策略編輯器中選擇一個(gè)用戶自定義策略的時(shí)候，該按鈕會(huì)自動(dòng)變?yōu)椤熬庉嫴呗渊?，進(jìn)入查看策略界面：〔1〕進(jìn)入策略編輯界面，選擇一個(gè)要查看/編輯的策略，〔2〕點(diǎn)擊“查看/編輯〞策略?！?〕等待系統(tǒng)加載數(shù)據(jù)后就可以進(jìn)入策略分析界面了，如圖6-7所示：2、策略窗口分左右兩局部：〔1〕左側(cè)為索引窗口，按照顯示類型分類，窗口上方還有查詢工具，可以快速定位到指定的事件。〔2〕右側(cè)為事件窗口，上半部是事件列表，列出了事件名稱、響應(yīng)方式、過(guò)濾條件、合并方式和報(bào)警級(jí)別。名稱前面的復(fù)選框指示該事件在策略中是否有效。下半局部是選中事件的詳細(xì)描述。圖6-7查看策略在實(shí)際應(yīng)用過(guò)程中，通常應(yīng)該根據(jù)網(wǎng)絡(luò)情況和監(jiān)控需求來(lái)制定一套適宜的監(jiān)控策略，制定用戶策略需要考慮以下幾個(gè)方面的因素：根據(jù)網(wǎng)絡(luò)中的業(yè)務(wù)應(yīng)用來(lái)決定選擇哪些事件。如IPS緊串接在Web效勞器前端，只需要對(duì)Web效勞器進(jìn)行防護(hù)，那么可以只選擇協(xié)議類型的攻擊事件，并且配置好SQL注入保護(hù)Web效勞器設(shè)置即可。根據(jù)監(jiān)控網(wǎng)絡(luò)的平安要求來(lái)設(shè)置響應(yīng)方式。針對(duì)平安要求不高的網(wǎng)絡(luò)只需采用系統(tǒng)自帶的“串行保護(hù)策略集〞中的默認(rèn)響應(yīng)方式既可，假設(shè)平安要求高，那么需要將所有受關(guān)注的事件都設(shè)置為阻斷響應(yīng)方式響應(yīng)方式在圖6-4中選擇某一用戶自定義事件集，雙擊進(jìn)入編輯窗口，選擇某一條攻擊事件，雙擊進(jìn)入策略編輯窗口，如圖6-8：圖6-8策略編輯【響應(yīng)方式】標(biāo)簽頁(yè)包含以下幾項(xiàng)可配置內(nèi)容：有效：選中，那么該事件有效，不選，那么IPS產(chǎn)品將不對(duì)該事件進(jìn)行檢測(cè)和處理響應(yīng)方式:為該事件設(shè)定響應(yīng)方式，包括日志〔記錄日志〕、報(bào)警〔在顯示中心報(bào)警〕、全局預(yù)警、防火墻〔防火墻聯(lián)動(dòng)〕、郵件〔郵件報(bào)警〕、SNMP〔通過(guò)SNMP協(xié)議遠(yuǎn)程報(bào)警〕、RST串行阻斷〔針對(duì)TCP類有連接的攻擊事件發(fā)送reset阻斷包〕、包丟棄串行阻斷〔針對(duì)ICMP、UDP類攻擊事件采取丟包方式〕等。針對(duì)防火墻方式，還可以配置防火墻的規(guī)那么，包括單向阻斷、按MAC阻斷、阻斷所有源端口、阻斷所有目的端口、阻斷IP協(xié)議，可以針對(duì)單個(gè)IP或者源IP所在的子網(wǎng)進(jìn)行阻斷，同時(shí)，還可以設(shè)置防火墻規(guī)那么的有效時(shí)間等?！敬凶钄噙^(guò)濾】：主要是對(duì)于選擇了RST串行阻斷或包丟棄串行阻斷響應(yīng)方式的事件，可以設(shè)置阻斷的過(guò)濾條件，點(diǎn)擊上圖的“設(shè)置〞按鈕進(jìn)入過(guò)濾條件配置窗口，如圖6-9：圖6-9串行阻斷過(guò)濾條件設(shè)置過(guò)濾條件包括時(shí)間、IP和Mac，可以同時(shí)設(shè)置多個(gè)條件，各條件之間是或的關(guān)系，即只要符合其中的一個(gè)條件，那么不進(jìn)行阻斷。時(shí)間條件：時(shí)間條件按照周為周期，在上圖中選中過(guò)慮的日期，還可以點(diǎn)擊進(jìn)行具體時(shí)點(diǎn)設(shè)置，如下列圖6-10：圖6-10過(guò)濾時(shí)間段設(shè)置說(shuō)明：時(shí)間段只能精確到小時(shí)，[舉例]，假設(shè)想在上班時(shí)間〔8：00~18：00〕阻斷某條件事件，其余時(shí)間開(kāi)放，那么可以通過(guò)2個(gè)時(shí)間段來(lái)過(guò)濾，如上圖的0：00~8和18：00~24：00進(jìn)行過(guò)濾。IP過(guò)濾：可以針對(duì)單個(gè)IP地址、IP范圍、子網(wǎng)等三種方式進(jìn)行設(shè)置，點(diǎn)擊“添加〞進(jìn)入IP配置窗口，如圖6-11：圖6-11IP過(guò)濾條件設(shè)置MAC過(guò)濾：點(diǎn)擊“添加〞進(jìn)入MAC設(shè)置窗口，如圖6-12：圖6-12MAC過(guò)濾條件設(shè)置按照上圖的說(shuō)明中要求的格式填寫(xiě)好需要過(guò)濾的MAC地址，點(diǎn)擊“確定〞完成設(shè)置。合并方式為了減少IPS的報(bào)警信息量，設(shè)定和并條件后，引擎會(huì)自動(dòng)將相關(guān)攻擊事件按照合并條件〔例如源IP相同等〕進(jìn)行合并后再上報(bào)給控制中心，天清入侵防御系統(tǒng)目前提供14種事件合并方式。如圖6-13所示：圖6-13合并方式要使事件合并生效，首先要在控制中心設(shè)置合并周期和次數(shù)，參考“5.2.5策略任務(wù)〞中的事件和并局部介紹。然后，需要在編輯某些需要合并的事件的合并方式：按〔源IP，目標(biāo)IP〕合并：默認(rèn)的合并方式，合并源IP和目標(biāo)IP都相同的同一名稱事件。按源IP合并：合并源IP相同的同一事件，不考慮目標(biāo)IP，合并后事件的目標(biāo)IP將被置為按目的IP合并：合并目標(biāo)IP相同的同一事件，不考慮源IP，合并后事件的源IP將被置為不考慮IP，只合并個(gè)數(shù)：合并事件名相同的所有事件，不考慮其他條件。合并后事件的目標(biāo)IP和源IP都將被置為按〔源IP網(wǎng)段，目標(biāo)IP〕合并：合并源IP在同一網(wǎng)段，目標(biāo)IP相同的同一事件。網(wǎng)段掩碼設(shè)置為，如圖6-14：圖6-14按〔源IP網(wǎng)段，目標(biāo)IP〕合并合并后事件源IP以網(wǎng)段的形式顯示，如圖6-15：圖6-15合并后事件源IP顯示形式按〔目標(biāo)IP網(wǎng)段，源IP〕合并：合并目標(biāo)IP在同一網(wǎng)段，源IP相同的同一事件。合并后事件目的IP以網(wǎng)段的形式顯示。按源IP和源端口合并：合并源IP、源端口相同的同一事件。合并后事件目的IP和目的端口可忽略。按源IP和目標(biāo)端口合并：合并源IP、目標(biāo)端口相同的同一事件。合并后事件目標(biāo)IP和源端口可忽略。按目標(biāo)IP和源端口合并：合并目標(biāo)IP、源端口相同的同一事件。合并后時(shí)間的源IP和目的端口為可忽略。目標(biāo)IP和目標(biāo)端口合并：合并目標(biāo)IP、目標(biāo)端口相同的同一事件，合并后事件的源IP和源端口置可忽略。按源IP所在網(wǎng)段和源端口合并：合并源IP在同一網(wǎng)段且源端口相同的同一事件。合并后的事件源IP以網(wǎng)段的形式顯示，目的IP和目的端口可忽略。按源IP所在網(wǎng)段和目標(biāo)端口合并：合并源IP在同一網(wǎng)段且目標(biāo)端口相同的同一事件。合并后的事件源IP以網(wǎng)段的形式顯示，目的IP和源端口可忽略按目標(biāo)IP所在網(wǎng)段和源端口合并：合并目標(biāo)IP在同一網(wǎng)段且源端口相同的同一事件。合并后的事件目標(biāo)IP以網(wǎng)段的形式顯示，源IP和目標(biāo)端口可忽略。按目標(biāo)IP所在網(wǎng)段和目的端口合并：合并目標(biāo)IP在同一網(wǎng)段且目標(biāo)端口相同的同一事件。合并后的事件目標(biāo)IP以網(wǎng)段的形式顯示，源IP和源端口可忽略。提取原始報(bào)文為了給用戶提供一個(gè)自行檢驗(yàn)?zāi)硹l攻擊事件報(bào)警是否準(zhǔn)確，天清入侵防御系統(tǒng)V提供針對(duì)具體攻擊事件提取攻擊報(bào)文的功能，在策略編輯菜單中雙擊某條攻擊事件，選擇“高級(jí)〞進(jìn)入如提取原始報(bào)文設(shè)置，如圖6-16:圖6-16原始報(bào)文提取設(shè)置上圖中選中“提取原始報(bào)文〞，設(shè)定提取次數(shù)〔最多允許提取10次〕，“確定〞后保存并給引擎下發(fā)策略，那么引擎將會(huì)按照設(shè)定的次數(shù)〔一條報(bào)警事件為一次〕提取該事件的原始報(bào)文信息，上報(bào)給控制中心并作為日志進(jìn)行保存。說(shuō)明：1〕當(dāng)事件報(bào)警次數(shù)超過(guò)設(shè)定的次數(shù)，那么超過(guò)局部不提取原始報(bào)文，假設(shè)想繼續(xù)提取，那么需要再次下發(fā)策略； 2〕設(shè)置為提取原始報(bào)文的事件，其報(bào)警信息將不被合并，即逐一上報(bào)給顯示中心，超過(guò)提取次數(shù)局部那么按照原定“合并方式〞進(jìn)行合并上報(bào)?？梢酝ㄟ^(guò)2種途徑來(lái)查看已經(jīng)提取的原始報(bào)文信息：從顯示中心查看：顯示中心——鼠標(biāo)右鍵點(diǎn)擊選擇提取原始報(bào)文的事件報(bào)警信息——查看原始數(shù)據(jù)，那么可以看到詳細(xì)的原始報(bào)文內(nèi)容，如圖6-17所示：圖6-17原始報(bào)文查看從日志分析中心查看：日志分析中心——事件日志明細(xì)表——模板——條件查詢——攜帶原始報(bào)文“是〞——在查詢結(jié)果中鼠標(biāo)右鍵點(diǎn)擊某條事件日志——查看原始數(shù)據(jù)，那么可以看到詳細(xì)的原始報(bào)文內(nèi)容，同圖6-17所示。策略集重命名1、策略集重命名只針對(duì)用戶自定義策略，系統(tǒng)策略不允許用戶重命名。2、策略集重命名的步驟：〔1〕選中一個(gè)自定義用戶策略集，點(diǎn)擊“重命名〞，如圖6-18所示：圖6-18重命名策略集〔2〕輸入新的策略名點(diǎn)擊“確定〞，就可以把原來(lái)的“WEB事件集衍生策略〞更名為“web衍生策略〞了。刪除策略1、策略集刪除只針對(duì)用戶自定義策略，系統(tǒng)策略不允許用戶刪除。2、刪除策略集的步驟：〔1〕進(jìn)入策略編輯界面；〔2〕選擇一個(gè)要?jiǎng)h除的策略，點(diǎn)擊“刪除〞；〔3〕在彈出的詢問(wèn)框中點(diǎn)擊“確定〞。導(dǎo)出策略1、策略導(dǎo)出便于策略的攜帶和轉(zhuǎn)移。2、策略導(dǎo)出的步驟如下：〔1〕進(jìn)入策略編輯界面，選擇一個(gè)策略?！?〕點(diǎn)擊“導(dǎo)出策略〞，選擇存儲(chǔ)路徑和文件名，“保存〞。策略集可以導(dǎo)出為策略格式〔.policy〕、文本格式(.txt)和Excel(.xls)文件格式，策略格式可以用于導(dǎo)入和下發(fā)等用途。如圖6-19所示：圖6-19導(dǎo)出策略注意：一個(gè)策略導(dǎo)出會(huì)生成三個(gè)文件，即*.Policy、*_Evt1def.def、*_Evt1def.def，三個(gè)文件都是必需的策略集信息文件。導(dǎo)入策略導(dǎo)入策略的步驟：〔1〕進(jìn)入策略編輯界面，點(diǎn)擊“導(dǎo)入策略〞；〔2〕選擇要導(dǎo)入的策略集〔以policy為后綴的文件〕，如圖6-20所示：圖6-20導(dǎo)入策略〔3〕點(diǎn)擊“翻開(kāi)〞，稍等一會(huì)兒后就會(huì)在用戶自定義策略集中顯示出導(dǎo)入的策略。策略管理界面說(shuō)明1、策略管理界面，如圖6-21所示：圖6-21策略管理界面2、菜單說(shuō)明如下：〔1〕系統(tǒng)：a、導(dǎo)出策略步驟與策略編輯界面的“導(dǎo)出策略〞相同。b、策略集選擇返回策略編輯界面。c、退出退出策略分析界面?！?〕策略集編輯：a、子策略集衍生將一個(gè)選中的子策略集合衍生為一個(gè)用戶自定義策略集；點(diǎn)擊“子策略集衍生〞翻開(kāi)如下列圖6-22所示的對(duì)話框：圖6-22子策略集衍生為衍生策略起一個(gè)名字后選擇衍生分類，點(diǎn)擊“確定〞，就可以在策略編輯界面中看到所衍生出來(lái)的策略集了。b、子策略集添加到這里的子策略集可以是一個(gè)完整的策略集、可以是策略集中的某一類子集〔如按照協(xié)議劃分的UDP類〕、也可以是某一條具體事件，鼠標(biāo)選中需要添加的子策略集，通過(guò)此功能用戶可以把該子策略集添加到另一個(gè)策略集中。下面就是把一個(gè)攻擊分析集中的ICMP協(xié)議事件的子策略添加到“操作〞策略集中的操作，步驟如下：第一步：點(diǎn)擊“策略擊編輯〞→鼠標(biāo)選中ICMP協(xié)議→“子策略集添加到〞；第二步：在彈出的對(duì)話中選中“操作〞策略集，點(diǎn)擊“確定〞。如圖6-24所示：圖6-24子策略集添加到某個(gè)策略集通過(guò)上面的操作，ICMP協(xié)議事件的子策略就被添加到“操作〞策略集中了?！?〕編輯a、全選將選定策略中的事件全部選中b、合并方式：設(shè)定合并方式，詳細(xì)操作方法參考“6.4.3合并方式〞局部?jī)?nèi)容。c、設(shè)置事件級(jí)別通過(guò)此項(xiàng)選擇用戶可以設(shè)置事件的級(jí)別，如圖6-25所示：圖6-25設(shè)置事件級(jí)別d、設(shè)置是否有效如果選擇這一模板，可以將選中的一個(gè)或多個(gè)事件設(shè)置為有效或無(wú)效。有效是指IPS對(duì)這個(gè)事件進(jìn)行檢測(cè)，無(wú)效那么不進(jìn)行檢測(cè)。e、修改事件名稱通過(guò)此選項(xiàng)用戶可以修改事件名稱，保存后要使改變立即生效，請(qǐng)?jiān)趫?bào)警顯示中心的“事件管理〞菜單下選擇“刷新事件信息〞選項(xiàng)，否那么必須重啟報(bào)警顯示中心才生效，如圖6-26所示：圖6-26修改事件名稱〔4〕設(shè)置模板設(shè)置模板的目的是為了在多條事件應(yīng)用同一種響應(yīng)策略或過(guò)濾條件的情況下，直接選中這類事件應(yīng)用策略模板，而不是逐條事件的設(shè)置，從而減輕用戶的操作負(fù)擔(dān)。a、策略設(shè)置模板策略設(shè)置模板如圖6-27所示：圖6-27策略設(shè)置模板具體方法：點(diǎn)擊添加按鈕，添加一個(gè)新模板，然后自定義響應(yīng)策略。響應(yīng)方式有：日志〔存入系統(tǒng)日志〕、報(bào)警〔向控制臺(tái)發(fā)送報(bào)警信息〕、全局預(yù)警、防火墻〔通知防火墻阻斷〕、掃描源IP〔對(duì)源IP進(jìn)行掃描〕、掃描目的IP〔對(duì)目的IP進(jìn)行掃描〕、Snmp、郵件、自定義程序。這些響應(yīng)方式可以單個(gè)使用也可以同時(shí)使用。其中防火墻阻斷可以進(jìn)行更細(xì)致的設(shè)置：?jiǎn)雾?xiàng)阻斷〔只阻斷一個(gè)方向的連接〕，阻斷所有源端口〔將源的所有端口阻斷〕，阻斷所有目的端口〔將目的的所有端口阻斷〕，阻斷IP協(xié)議〔將IP協(xié)議阻斷〕，RST串行阻斷〔串行模式下的RST阻斷〕，包丟棄串行阻斷〔串行模式下的包丟棄阻斷〕為了方便實(shí)用，可以對(duì)某個(gè)模板重命名，如果某個(gè)模板今后不再使用，可以刪掉此模板。還可以對(duì)模板進(jìn)行導(dǎo)入和導(dǎo)出操作，導(dǎo)出是指將所有模板存儲(chǔ)到文件中，導(dǎo)入是指將文件中的模板添加到模板庫(kù)中。另外為了方便用戶使用，系統(tǒng)還有簡(jiǎn)單的分類查詢功能，點(diǎn)擊屏幕上的劃分類型按鈕，能根據(jù)用戶給出的劃分標(biāo)準(zhǔn)重新對(duì)事件進(jìn)行分類顯示，如下列圖6-28所示：圖6-28修改劃分標(biāo)準(zhǔn)動(dòng)態(tài)策略動(dòng)態(tài)策略，顧名思義，就是動(dòng)態(tài)的加載針對(duì)入侵事件所采取的響應(yīng)策略，包括響應(yīng)方式、過(guò)濾條件、合并方式等。天清入侵防御系統(tǒng)可以在運(yùn)行過(guò)程中對(duì)入侵事件進(jìn)行自動(dòng)的策略調(diào)整，以適應(yīng)網(wǎng)絡(luò)的運(yùn)行狀況。針對(duì)網(wǎng)絡(luò)事件，可以制定相應(yīng)的動(dòng)態(tài)策略調(diào)整方案，選擇一個(gè)方案應(yīng)用，一旦網(wǎng)絡(luò)事件滿足方案中的規(guī)那么，控制中心會(huì)自動(dòng)調(diào)整策略集，然后下發(fā)給網(wǎng)絡(luò)引擎。點(diǎn)擊菜單中的策略任務(wù)→入侵防御→動(dòng)態(tài)策略，可以動(dòng)態(tài)策略的編輯界面。菜單說(shuō)明1、文件〔1〕保存：保存當(dāng)前設(shè)置?！?〕統(tǒng)計(jì)時(shí)間：設(shè)置對(duì)網(wǎng)絡(luò)事件多長(zhǎng)時(shí)間統(tǒng)計(jì)一次。默認(rèn)為60分，見(jiàn)圖7-1圖7-1統(tǒng)計(jì)時(shí)間注意：建議這里不設(shè)置為1440、2880，因?yàn)橄到y(tǒng)到了整天后就會(huì)去除統(tǒng)計(jì)事件，如果在此時(shí)去統(tǒng)計(jì)TOP10事件，統(tǒng)計(jì)結(jié)果會(huì)發(fā)生錯(cuò)誤?！?〕退出：退出動(dòng)態(tài)策略編輯模塊。2、方案〔1〕添加方案：添加一個(gè)方案?！?〕刪除方案：刪除一個(gè)方案。〔3〕應(yīng)用：應(yīng)用一個(gè)方案，即令一個(gè)方案生效?！?〕解除應(yīng)用：停用一個(gè)方案。3、規(guī)那么 添加規(guī)那么：為〔1〕一個(gè)方案添加一條規(guī)那么。 刪除規(guī)那么：將〔2〕選中的規(guī)那么從方案中刪除。4、日志刪除日志：將選中的日志刪除。5、幫助關(guān)于：關(guān)于對(duì)話框調(diào)用。使用方法統(tǒng)計(jì)時(shí)間間隔配置首先在菜單“文件〞→“統(tǒng)計(jì)時(shí)間〞中，設(shè)置對(duì)入侵事件的統(tǒng)計(jì)時(shí)間間隔，例如設(shè)置為720分，就會(huì)在每半天對(duì)所有入侵事件進(jìn)行一次統(tǒng)計(jì)，將發(fā)生次數(shù)最多的前10個(gè)事件顯示出來(lái)。上圖中左邊的窗口有三個(gè)頁(yè)面，切換到“事件〞，就會(huì)在右邊的列表中看到top10事件。如圖7-2所示：圖7-2top10事件制定方案和規(guī)那么左邊的窗口切換到“方案〞，點(diǎn)擊菜單“方案〞添加一個(gè)方案。如圖7-3圖7-3制定方案和規(guī)那么選中這個(gè)新增加的方案，然后點(diǎn)擊菜單“規(guī)那么〞為這個(gè)方案添加一個(gè)規(guī)那么，規(guī)那么是指針對(duì)某些事件所采取的調(diào)整方式。下面對(duì)規(guī)那么界面進(jìn)行介紹：1、規(guī)那么定義：圖7-4規(guī)那么定義〔1〕事件：設(shè)置對(duì)哪一類事件進(jìn)行動(dòng)態(tài)調(diào)整?！?〕閥值：到達(dá)什么標(biāo)準(zhǔn)后進(jìn)行動(dòng)態(tài)調(diào)整，共有兩種選擇：條/分鐘和占全部事件的比例。只能選擇其中一種統(tǒng)計(jì)方式進(jìn)行閥值設(shè)置?！?〕設(shè)備引擎：選擇某個(gè)網(wǎng)絡(luò)引擎，這個(gè)網(wǎng)絡(luò)引擎上報(bào)的事件到達(dá)閥值后，會(huì)自動(dòng)調(diào)整策略集，重新下發(fā)到這個(gè)網(wǎng)絡(luò)引擎。2、策略修改方式：圖7-5策略修改方式定義前面選擇的事件到達(dá)閥值后的響應(yīng)方式，例如可以將低級(jí)事件調(diào)整為中級(jí)事件，也可以保持事件級(jí)別不變，修改它的響應(yīng)方式〔例如改為日志＋報(bào)警＋全局預(yù)警等〕、過(guò)濾條件或合并方式，這局部的意義可以參見(jiàn)策略編輯。說(shuō)明：每個(gè)方案可以包含多個(gè)規(guī)那么，網(wǎng)絡(luò)事件滿足哪個(gè)規(guī)那么的條件，哪個(gè)規(guī)那么就生效。如果多個(gè)規(guī)那么對(duì)同一個(gè)事件的響應(yīng)方式等進(jìn)行了修改，那么以最前面的規(guī)那么為準(zhǔn)。3、應(yīng)用方案用戶可以添加多個(gè)方案，并對(duì)每個(gè)方案添加多個(gè)規(guī)那么。但是同一時(shí)間段只能有一個(gè)方案生效。選擇一個(gè)方案，點(diǎn)擊