IDS入侵检测安装调试讲训.ppt

目录 目录 网御入侵检测产品介绍 结构 基于C/S模式 联想网御新版IDS型号 百兆标准型：N120 百兆增强性：N820 千兆标准型：N3200 千兆增强型：N5200 入侵检测系统的部署（原则） 理解网络拓扑 理解需求（哪些信息流需要检测） 得出可行的接入点和接入方式 能否优化 优先1 不改变现有拓扑 优先2 Sensor和Console间通信的可靠 优先3 避免对冗余流量的分析 部署模式 共享模式 部署模式 交换模式 部署模式 TAP模式 部署模式 隐蔽模式（带外管理） 目录 产品安装 控制台必须安装在windows2000及以上平台（尽量使用professional) 文件系统尽量使用NTFS格式 安装必威体育精装版的service pack 关闭不必要的服务 确保账号的安全性 入侵检测系统控制台安装 把安装盘放入光驱，自动运行安装程序或手动选择执行“网御IDS 控制台安装”程序setup.exe 入侵检测系统控制台安装 仔细阅读网御IDS使用协议，如果同意请选“是”，不同意则选“否”。 入侵检测系统控制台安装 填写用户注册信息。 入侵检测系统控制台安装 网御IDS 控制台的默认路径为“C:\Program Files\Lenovo \IDS”。假如更改安装路径，则选择“查找”指定安装的路径，按“确认”按钮。再按“下一步”。 入侵检测系统控制台安装 网御IDS 控制台的安装过程需要导入认证证书，用户选择相应目录下的任意一个证书即可。 入侵检测系统控制台安装 网御IDS 控制台的安装过程需要导入认证证书，用户选择相应目录下的Cacert.pem或izpl.pem任意一个证书即可。 入侵检测系统控制台安装 选定证书后，按“下一步”按钮。进入选择服务的程序组名，缺省为网御IDS控制台v3.2.8。 入侵检测系统控制台安装 确认安装事项后，按“下一步”按钮。开始复制文件。 入侵检测系统控制台安装 选择默认保存日志的路径后继续“下一步”。 入侵检测系统控制台安装 安装结束后出现如下“安装结束”画面，按“完成”按钮，结束安装。 探测引擎设置 使用随机所附的串口线，将联想网御IDS探测引擎的串口与一台装有超级终端的个人计算机的串口连接起来。设置超级终端直接连接到串口1，如下图： 探测引擎设置 设设置超级终端的波特率：38400；数据位：8；奇偶校验：无；停止位：1；流量控制：无，如下图： 探测引擎设置 按回车键，建立连接后（出现login: 提示符），输入正确的账号和密码，就能够登陆网御IDS探测引擎，进入网御IDS探测引擎的设置模式。网御IDS探测引擎出厂时，默认的串口管理员账号和密码分别为：lenovo/default，下图为登陆后的主界面 探测引擎设置 串口登陆后即进入探测引擎配置主菜单 探测引擎设置 在主菜单内选择2系统管理,进入系统管理界面 探测引擎设置 在系统管理界面输入1网络配置，进入网络配置界面 探测引擎设置 在网络配置界面输入1查看编辑IP配置，进入通讯端口IP地址配置界面 探测引擎设置 选择1开始并完成通讯端口的IP地址配置 控制台设置 首先以帐号：lenovo密码：default的帐号口令登陆网御IDS的控制台 控制台设置 在菜单“资产”内选择引擎，并在客户端资产管理—引擎窗口 内选择“添加” 控制台设置 在添加探测引擎的过程中需要为探测引擎相应的检测策略 控制台设置 点击此处“确定”，完成探测引擎的添加工作 控制台设置 点击菜单“引擎”下的“策略”，进入策略编辑界面。联想网御IDS缺省带有5个策略模板，可以通过策略模板派生出相应策略供用户编辑 控制台设置 双击派生出策略或选择要编辑的策略选择“编辑”，进入策略编辑 注意： 控制台与探测器之间是C/S模式，通讯是每时都在进行的，当探测引擎在未与控制台连接的状态下长时间单独运行时，会将报警日志缓存在探测引擎的本地硬盘上，当控制台再次连接上探测引擎后，探测引擎会自动将报警日志上传给控制台，由于传送和存储日志会占用很多系统资源，在自动传送日志时，控制台会出现运行缓慢的现象，用户需等待，具体时间视控制台配置和日志大小而定。 控制台后台数据库包含网络私密信息，所以，最好让控制台专机专用，不要和其他系统安装在一起。以免信息泄露。 尽量只选择并使用一个监听口，这样可以最大发挥产品的性能，多监听口同时工作会降低产品。 目录 控制台策略配置-内网对象 进入策略编辑界面编辑用户自定义策略首先需要根据用户实际网络编辑内网对象。 控制台策略配置-内网对象 进入策略-网络编辑界面添加内网对象，添加相应的内网名称、网络/IP范围、选定“内部IP”选项，