计算机网络安全技术与实施（旧） 电子课件 电子课件-任务4.1基于Snort入侵检测功能配置.ppt

4.1.4 利用Snort软件实施入侵检测 3、安装MySQL Database MYSQL服务器和客户端程序安装很容易（可选安装项，如果安装Snort主程序时选择日志方式为不记录到数据库，此步可以省略），默认安到C:\MYSQL目录下，进入C:\MYSQL\BIN打开MYSQL管理器winmysqladmin.exe。执行后任务栏上会有图标出现，右键选择SHOW ME。要求输入用户和密码，正确情况下应该显示如下YES OK……配置MY.INI文件（位于系统目录下） 4.1.4 利用Snort软件实施入侵检测 默认情况下只有两个数据库MYSQL和TEST，右键可以新建立数据库（SNORT），如果无法正确建立，可以用MYSQLFRONT建立，具体参照下一步骤。 4.1.4 利用Snort软件实施入侵检测 4、配置MySQLFRONT，并生成SNORT数据库 此步是为上一步服务的，当然也是可选项，如果不使用MySQL数据库或能正确建立Snort数据库，则本步骤可以省去。 如果要建立数据，则右键主机名就可以出现CREAT DATABASE。建立好SNORT数据库后选择QUERY、LOAD SQL、选择CREATE_MYSQL.SQL，选择打开、选择RUN（F9）执行。即可按Snort日志记录格式生成数据库。 4.1.4 利用Snort软件实施入侵检测 5、利用create_mysql在SNORT中生成Acid的库表 执行后即可生成SNORT所需的表。本步骤当然也是可选项，如果不使用MySQL数据库或能正确建立Snort数据库，则本步骤可以省去。 4.1.4 利用Snort软件实施入侵检测 6、安装及配置PHP 将PHP解压到C:\Snort\PHP目录。拷贝文件php.ini-dist到本机的根目录，并将它改名为php.ini。本机的根目录是c:\windows。用写字板打开php.ini，修改以下两个变量： （1) max_execution_time = 60 （2) session.save_path = \Temp folder. 配置PHP运行在NT Server/2000/XP的IIS4/5环境下：打开管理工具中的Internet管理工具；右键单击默认web站点，选择属性；在主目录活页下，点击配置按钮，选择应用程序映射；点击添加按钮，在可执行程序框内添入c:\snort\php\php.exe；在下面的扩展名框中添入.php；选择脚本引擎；点击确定即可。 当然此步骤是为了使PHP编写的WEB程序能在主机上执行，而安装的软件。建议首次实验不安装。 4.1.4 利用Snort软件实施入侵检测 7、安装与配置ADODB及ACID 解压ADODB到C:\Snort\ADODB目录，编辑ADODB.INC.PHP，找到$ADODB_Database，输入修改为$ADODB_Database = C:\Snort\adodb；解压并移动Acid到缺省的web站点目录下C:\Inetpub\wwwroot\。配置acid目录下的acid_conf.php，只需要修改以下变量： $DBlib_path = C:\Snort\ADODB; $alert_dbname = snort; $alert_host = localhost; $alert_port = ; $alert_user = snort; $alert_password = ; 重新启动计算机，打开浏览器输入http://localhost/Acid/Index.html。注意：第一次打开时，会看到一个配置错误的提示，点击“Setup” 选项，再点击“Create ACID AG”，来完成配置。返回浏览器输入“http://localhost/Acid/Index.html”，一会儿就可以看到警告信息。完成了以上步骤，每次开机Snort都会自动开始进行入侵检测，用户可以通过在浏览器URL中输入“http://localhost/Acid/Index.html”来查看网络事件。 此步骤下上一步是关联的，是为了网络管理员以WEB方式进行远程查看管理Snort程序而设计的一个WEB程序，此程序是用PHP编写的。建议首次实验不安装。 4.1.4 利用Snort软件实施入侵检测 8、安装与配置IDSCENTER1.1 前面已经说过，IDSCENTER是对Snort程序的一个GUI，即图形化的操作窗口，可以配置Snort，并对其进行操作与管理。IDSCENTER是可选的，但建议安装此软件减化烦琐的程序。同所有的软件安