IDS入侵检测安装调试培训.ppt

PPT名称： 32pt 黑体, 白色 单位名称：如 售前方案处等 24pt 黑体,绿色 2007 联想网御 IDS安装调试培训教材 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 目录 入侵检测系统在网络中的部署 联想网御IDS的安装(控制台和探测器) 联想网御IDS的策略配置 日志数据库的维护 规则库升级 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 目录 入侵检测系统在网络中的部署 联想网御IDS的安装(控制台和探测引擎) 联想网御IDS的策略配置 日志数据库的维护 规则库升级 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 网御入侵检测产品介绍 结构 基于C/S模式 联想网御新版IDS型号 百兆标准型：N120 百兆增强性：N820 千兆标准型：N3200 千兆增强型：N5200 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 入侵检测系统的部署（原则） 理解网络拓扑 理解需求（哪些信息流需要检测） 得出可行的接入点和接入方式 能否优化 优先1 不改变现有拓扑 优先2 Sensor和Console间通信的可靠 优先3 避免对冗余流量的分析 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 部署模式 共享模式 HUB IDS Sensor Monitored Servers Console 监听口无IP 管理口单独部署 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 部署模式 交换模式 Switch IDS Sensor Monitored Servers Console 通过端口镜像实现 （SPAN / Port Monitor） 监听口无IP 管理口单独部署 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 部署模式 TAP模式 Switch IDS Sensor Monitored Servers 通过TAP设备 Console TAP 无IP 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 部署模式 隐蔽模式（带外管理） Switch IDS Sensor Console 无IP 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 目录 入侵检测系统在网络中的部署 联想网御IDS的安装(控制台和探测器) 联想网御IDS的策略配置 日志数据库的维护 规则库升级 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台必须安装在windows2000及以上平台（尽量使用professional) 文件系统尽量使用NTFS格式 安装最新的service pack 关闭不必要的服务 确保账号的安全性 产品安装 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 入侵检测系统控制台安装 把安装盘放入光驱，自动运行安装程序或手动选择执行“网御IDS 控 制台安装”程序setup.exe 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 入侵检测系统控制台安装 仔细阅读网御IDS使用协议，如果同意请选“是”，不同意则选“否 ”。 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 入侵检测系统控制台安装 填写用户注册信息。 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 网御IDS 控制台的默认路径为“C:Program FilesLenovo IDS”。 假如更改安装路径，则选择“查找”指定安装的路径，按“确认”按 钮。再按“下一步”。 入侵检测系统控制台安装 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 网御IDS 控制台的安装过程需要导入认证证书，用户选择相应目录下 的任意一个证书即可。 入侵检测系统控制台安装 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 网御IDS 控制台的安装过程需要导入认证证书，用户选择相应目录下 的Cacert.pem或izpl.pem任意一个证书即可。 入侵检测系统控制台安装 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 入侵检测系统控制台安装 选定证书后，按“下一步”按钮。进入选择服务的程序组名，缺省为 网御IDS控制台v3.2.8。 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 入侵检测系统控制台安装 确认安装事项后，按“下一步”按钮。开始复制文件。 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 入侵检测系统控制台安装 选择默认保存日志的路径后继续“下一步”。 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 入侵检测系统控制台安装 安装结束后出现如下“安装结束”画面，按“完成”按钮，结束安装 。 控制台安装步骤 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 探测引擎设置 使用随机所附的串口线，将联想网御IDS探测引擎的串口与一台装有 超级终端的个人计算机的串口连接起来。 设置超级终端直接连接到串口1，如下图： 探测引擎连接设置 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 探测引擎设置 设设置超级终端的波特率：38400；数据位：8；奇偶校验：无；停止 位：1；流量控制：无，如下图： 探测器连接设置 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 探测引擎设置 按回车键，建立连接后（出现login: 提示符），输入正确的账号和 密码，就能够登陆网御IDS探测引擎，进入网御IDS探测引擎的设置模 式。网御IDS探测引擎出厂时，默认的串口管理员账号和密码分别为 ：lenovo/default，下图为登陆后的主界面 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 探测引擎设置 串口登陆后即进入探测引擎配置主菜单 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 探测引擎设置 在主菜单内选择2系统管理,进入系统管理界面 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 探测引擎设置 在系统管理界面输入1网络配置，进入网络配置界面 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 探测引擎设置 在网络配置界面输入1查看&编辑IP配置，进入通讯端口IP地址配置界 面 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 探测引擎设置 选择1开始并完成通讯端口的IP地址配置 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台设置 首先以帐号：lenovo密码：default的帐号口令登陆网御IDS的控制台 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台设置 在菜单“资产”内选择引擎，并在客户端资产管理引擎窗口 内选 择“添加” 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台设置 在添加探测引擎的过程中需要为探测引擎相应的检测策略 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台设置 点击此处“确定”，完成探测引擎的添加工作 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台设置 点击菜单“引擎”下的“策略”，进入策略编辑界面。联想网御IDS 缺省带有5个策略模板，可以通过策略模板派生出相应策略供用户编 辑 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台设置 双击派生出策略或选择要编辑的策略选择“编辑”，进入策略编辑 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 注意： 控制台与探测器之间是C/S模式，通讯是每时都在进行的，当探测引 擎在未与控制台连接的状态下长时间单独运行时，会将报警日志缓存 在探测引擎的本地硬盘上，当控制台再次连接上探测引擎后，探测引 擎会自动将报警日志上传给控制台，由于传送和存储日志会占用很多 系统资源，在自动传送日志时，控制台会出现运行缓慢的现象，用户 需等待，具体时间视控制台配置和日志大小而定。 控制台后台数据库包含网络私密信息，所以，最好让控制台专机专用 ，不要和其他系统安装在一起。以免信息泄露。 尽量只选择并使用一个监听口，这样可以最大发挥产品的性能，多监 听口同时工作会降低产品。 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 目录 入侵检测系统在网络中的部署 联想网御IDS的安装(控制台和探测器) 联想网御IDS的策略配置 日志数据库的维护 规则库升级 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台策略配置-内网对象 进入策略编辑界面编辑用户自定义策略首先需要根据用户实际网络编 辑内网对象。 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台策略配置-内网对象 进入策略-网络编辑界面添加内网对象，添加相应的内网名称、网络 /IP范围、选定“内部IP”选项，只有选定了“内部IP”所添加的内 网对象才能生效。 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 注意： 内网对象的定义影响部分功能的正常工作。建议用户在部署、使用产 品之前，要先定义好内网对象。受内网对象影响的功能有： 网络流量统计功能 部分扫描攻击检测 部分DoS攻击检测 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台策略配置-响应方式 点击快捷工具栏上“响应”，进入响应编辑窗口。主界面提供了非联 动的响应方式列表。 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台策略配置-响应方式 联动类响应方式需添加，选择“添加”按钮后，选择相应类型中的相 关响应方式进行配置即可。 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台策略配置-响应方式 应用响应策略。在快捷工具栏中选择“事件/策略”下的“策略”下 的“添加”，用户可按事件名、源地址、目的地址、风险级别、事件 类型、服务、时间等因素组合定制响应的响应方式 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 控制台策略配置-策略下发 编辑完策略后，将被编辑的策略拖拽到需要应用的探测引擎，系统会 通知用户“是要把策略应用于引擎吗”，选择“是”系统即会自动下 并应用这个策略。 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 目录 入侵检测系统在网络中的部署 联想网御IDS的安装(控制台和探测器) 联想网御IDS的策略配置 日志数据库的维护 规则库升级 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 日志数据库的维护 在快捷工具栏中选择资产-环境设置，在此可配置选择使用ACCESS 数据库还是MS SQL SERVER数据库。缺省安装情况下使用ACCESS数据 库 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 日志数据库的维护 日志备份设置 资产-环境设置-备份策略设置，定义按用户需要的日志备份计划任务 ，定期执行数据的备份工作。 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 日志数据库的维护 日志同步 在快捷菜单日志-日志同步，进入日志同步窗口，日志同步功能是提 供手动的日志同步功能包括入侵日志和流量日志两部分 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 日志数据库的维护 日志删除 在快捷菜单日志-日志备份，进入日志备份/恢复窗口，日志备份/恢 复提供了对日志的手动备份和恢复功能， 标题 名称： 28pt 黑体, 深蓝色 文本内容： 最大28pt 黑体, 黑色 日志数据库的维护 日志压缩 在快捷菜单日志-日志压缩，针对ACCESS数据库，我们提供了数据压 缩功能 标题 名称： 28pt 黑体,