天阗6-0入侵检测系统使用维护.ppt

 网络入侵检测系统常用功能 网络入侵检测系统高级功能 网络入侵检测系统日常维护 常用功能 查看事件 策略基本操作 报表输出 数据库维护 更新升级 查看事件 查看报警事件 添加窗口 系统设置 树型窗口 策略基本操作 策略衍生 策略集操作 策略向导 策略导入导出 策略基本操作 编辑策略 策略基本操作 策略下发 报表输出 管理统计分析报表 目标对象是管理人员 周期性统计报表类型模板 使用水晶报表，支持PDF、RPT、EXCEL、WORD、XML、RICH TEXT、文本文件等多种导出格式 报表输出 详细日志分析报表 目标对象是入侵检测分析人员 提供多种缺省模板和方案文件 强大的条件过滤功能 数据库维护 自动维护和手动维护 支持MSDE、SQL Server和其他以ODBC连接的数据库 数据库维护 自动备份 日志新增条数 数据库维护 设定手动维护条件，然后手动完成数据库维护工作 手动删除、手动备份 数据库摘要 数据库维护 ACCESS数据库 SQL数据库 更新升级 产品升级 引擎升级： 控制中心下发 USB升级 软件升级： 升级管理中心 网站下载 更新升级 事件库升级(每周5下午更新事件库) 自动（需要能连接上互联网） 手动  网络入侵检测系统常用功能 网络入侵检测系统高级功能 网络入侵检测系统日常维护 高级功能 多级管理 响应方式 过滤条件 事件合并 事件自定义 动态策略 多级管理 主控设置 添加子控 下发策略、升级文件 设置要求上报内容 多级管理 子控设置 允许上级连接 允许接受的管理 响应方式 响应方式分类 被动 主动 响应方式 响应方式的设置 防火墙联动 全局预警 SNMP 远程报警 响应方式 菜单→组件管理→联动设置 4种联动协议 响应方式 菜单→分级管理→全局预警 一点发生，全网预警 用户自定义信息 响应方式 菜单→系统设置→SNMP Trap设置 利用SNMP配置与港湾交换机联动 过滤条件 IP过滤和MAC过滤 应用到事件 保存下发策略 合并方式 设置－1 策略任务-入侵检测-合并设置 设置合并次数/合并周期 合并方式 设置－2 策略编辑-选择事件-合并方式 14种合并方式 事件自定义 基于数据/特征模式的网络事件 网络流量中存在着可匹配规则的一类事件 通过匹配特征可以分析出具有某些攻击的行为。 事件自定义 变量关系 变量定义 常用变量定义 源地址:ip_sip 目的地址:ip_dip 源端口:tcp_sport 目的端口:tcp_dport 动态策略 新建方案 添加规则 响应方式 过滤条件 合并方式 高级功能 多级管理 响应方式 过滤条件 事件合并 事件自定义 动态策略  网络入侵检测系统常用功能 网络入侵检测系统高级功能 网络入侵检测系统日常维护 日常工作建议 每日查看天阗控制台工作是否启动或是否工作正常。 每日查看控制台连接引擎是否正常 每日早晚各一次查看报警信息。 对可疑事件进行及时分析。 及时调整并下发天阗工作策略。 根据情况及时上报事件。 日常维护建议 至少每周进行一次天阗事件库更新。 注意启明星辰网站对天阗事件库的更新或从售后服务部门获取。 注意天阗控制中心和引擎的升级包。 定期查看日志数据库大小及进行数据库维护。  网络入侵检测系统常用功能 网络入侵检测系统高级功能 网络入侵检测系统日常维护 天阗6.0系统常见问题处理 天阗6.0常见问题处理 TCP 20001：此端口是用来传输数据的，如策略/文件的下发、日志的上传；此端口是用来和控制中心建立连接及认证的。 方向为控制中心到探测引擎的主动连接。 天阗6.0常见问题处理 如何确认天阗安装完全 控制中心，检查snmp是否正确安装 添加组件，看下拉列表。 打开管理报表，看水晶报表 打开服务，查看datatransfer（数据传输）、venusautostorage（管理报表） 天阗6.0常见问题处理 探测引擎与控制中心连接不上 网络物理连接是否正常； 网络层是否可以进行通信； 是否有不正常的关机行为发生； 是否更换了控制台或ＩＰ地址； 两者是否同在一个网络、若不则查看网关； 控制台参数设置是否有问题； 防火墙是否进行了阻断； 认证是否发生了问题； 使用串口查看引擎设置参数是否正确； 使用维护工具查看引擎工作是否正常； 初始化引擎； 天阗6.0常见问题处理 控制中心无报警信息 控制台和引擎连接是不是正常； 网络上是不是有数据通信； 探测引擎是否和交换机或集线器连接； 交换机是否进行过镜像配置，配置是否进行过保存； 防火墙是否进行了阻断； 天阗6.0常见问题处理 主控与子控连接不上