任务11 入侵检测设备应用

1、工作任务工作任务 问题探究问题探究 知识拓展知识拓展 检查评价检查评价 学习目标学习目标 拒绝服务攻 击和检测 实践操作实践操作 学习目标学习目标 1. 知识目标知识目标 2. 能力目标能力目标 学习目标学习目标 返回返回 下页下页 上页上页 学习目标学习目标 返回返回 下页下页 上页上页 理解入侵检测系统的概念理解入侵检测系统的概念 1 1 理解传感器的概念理解传感器的概念2 2 理解入侵检测系统的部署理解入侵检测系统的部署3 3 掌握掌握RG-IDS的特点和技术特性的特点和技术特性 4 4 5 5了解了解RG-IDS的策略配置的策略配置 1. 知识目标知识目标 学习目标学习目标 返回返回

2、下页下页 上页上页 2. 能力目标能力目标 部署部署RG-IDS1 1 安装和配置传感器安装和配置传感器2 2 安装和配置事件收集器（安装和配置事件收集器（EC）3 3 安装管理控制台安装管理控制台 4 4 5 5安装和配置报表及查询工具安装和配置报表及查询工具 工作任务工作任务 工作任务工作任务 2. 工作任务背景工作任务背景 4. 条件准备条件准备 1. 工作名称工作名称 3. 工作任务分析工作任务分析 返回返回 下页下页 上页上页 任务背景：任务背景：最近学校的校园网经常受到黑客的入侵和最近学校的校园网经常受到黑客的入侵和 攻击，校园网配置的防火墙已经不能完全阻挡这些攻攻击，校园网配置的

3、防火墙已经不能完全阻挡这些攻 击行为了，黑客的攻击大大影响了学校的正常工作。击行为了，黑客的攻击大大影响了学校的正常工作。 因此在张老师的建议下，学校购置了入侵检测系统：因此在张老师的建议下，学校购置了入侵检测系统： RG-IDS 100传感器及相应软件。张老师需要在短时间传感器及相应软件。张老师需要在短时间 内掌握传感器的使用环境和入侵检测系统的安装。内掌握传感器的使用环境和入侵检测系统的安装。 任务名称：任务名称：安装和部署安装和部署RG-IDS 任务名称与背景任务名称与背景 返回返回 下页下页 工作任务工作任务 上页上页 RG-IDS是自动的、实时的网络入侵检测和响应系统，是自动的、实时

4、的网络入侵检测和响应系统， 它以不引人注目的方式最大限度地、全天候地监控和分它以不引人注目的方式最大限度地、全天候地监控和分 析网络的安全问题。捕获安全事件，给予适当的响应，析网络的安全问题。捕获安全事件，给予适当的响应， 阻止非法的入侵行为，从而保护网络的信息安全。阻止非法的入侵行为，从而保护网络的信息安全。 RG-IDS由下列程序组件组成：由下列程序组件组成：控制台、控制台、EC、 LogServer、传感器、报表。、传感器、报表。 控制台（控制台（console）是是RG-IDS的控制和管理组件。的控制和管理组件。 它是一个基于它是一个基于Windows的应用程序，控制台提供图形用的应用

5、程序，控制台提供图形用 户界面来进行数据查询、查看警报并配置传感器。控制户界面来进行数据查询、查看警报并配置传感器。控制 台有很好的访问控制机制，不同的用户被授予不同级别台有很好的访问控制机制，不同的用户被授予不同级别 的访问权限，允许或禁止查询、警报及配置等访问。控的访问权限，允许或禁止查询、警报及配置等访问。控 制台、事件收集器和传感器之间的所有通信都进行了安制台、事件收集器和传感器之间的所有通信都进行了安 全加密。全加密。 任务分析任务分析 返回返回 下页下页 工作任务工作任务 上页上页 事件收集器（事件收集器（EventCollector，简称，简称EC）可以实现集可以实现集 中管理传

6、感器及其数据，并控制传感器的启动和停止，收中管理传感器及其数据，并控制传感器的启动和停止，收 集传感器日志信息，并且把相应的策略发送传感器，以及集传感器日志信息，并且把相应的策略发送传感器，以及 管理用户权限、提供对用户操作的审计功能。管理用户权限、提供对用户操作的审计功能。 LogServer是是RG-IDS的数据处理模块。它需要集成的数据处理模块。它需要集成 DB（数据库）一起协同工作。（数据库）一起协同工作。RG-IDS 支持微软支持微软MSDE、 SQL Server。 传感器（传感器（Sensor）需要部署在保护的网段上，对网段需要部署在保护的网段上，对网段 上流过的数据流进行检测，

7、识别攻击特征，报告可疑事件，上流过的数据流进行检测，识别攻击特征，报告可疑事件， 阻止攻击事件的进一步发生或给予其它相应的响应。阻止攻击事件的进一步发生或给予其它相应的响应。 报表（报表（Report）和查询工具作为和查询工具作为IDS系统的一个独立系统的一个独立 的部分，主要完成从数据库提取数据、统计数据和显示数的部分，主要完成从数据库提取数据、统计数据和显示数 据的功能。据的功能。Report能够关联多个数据库，给出一份综合的能够关联多个数据库，给出一份综合的 数据报表。查询工具提供查询安全事件的详细信息。数据报表。查询工具提供查询安全事件的详细信息。 任务分析任务分析 返回返回 下页下页

8、 工作任务工作任务 上页上页 RG-IDS可以选择分布式和孤立式两种不同的部署模可以选择分布式和孤立式两种不同的部署模 式式。分布式部署分布式部署是把不同的组件安装在不同的计算机上，是把不同的组件安装在不同的计算机上， 利用网络统一管理分散在不同计算机上的组件。由于每利用网络统一管理分散在不同计算机上的组件。由于每 台计算机处理不同的事务，所以分布式部署具有极强的台计算机处理不同的事务，所以分布式部署具有极强的 数据处理能力。孤立式部署是把不同的组件安装在一台数据处理能力。孤立式部署是把不同的组件安装在一台 功能比较强大的计算机上，这种部署方式有利于管理，功能比较强大的计算机上，这种部署方式有

9、利于管理， 对于一般的中小企业很适用。根据校园网的实际需求，对于一般的中小企业很适用。根据校园网的实际需求， 张老师选择了孤立式的部署模式，在一台计算机上安装张老师选择了孤立式的部署模式，在一台计算机上安装 SQL Server 2000数据库、数据库、LogServer、事件收集器、事件收集器、 管理控制台和报表及查询工具等程序组件。管理控制台和报表及查询工具等程序组件。 作为一种基于网络的入侵检测系统，作为一种基于网络的入侵检测系统，RG-IDS依赖于依赖于 一个或多个传感器监测网络数据流。这些传感器代表着一个或多个传感器监测网络数据流。这些传感器代表着 RG-IDS的眼睛。因此，传感器在

10、某些重要位置的部署对的眼睛。因此，传感器在某些重要位置的部署对 于于RG-IDS能否发挥作用至关重要。能否发挥作用至关重要。 任务分析任务分析 返回返回 下页下页 工作任务工作任务 上页上页 由于学校的校园网采用交换式网络，并且校园网使由于学校的校园网采用交换式网络，并且校园网使 用的交换机支持端口镜像的功能，因此张老师决定在在用的交换机支持端口镜像的功能，因此张老师决定在在 不改变原有网络拓扑结构的基础上完成传感器的部署，不改变原有网络拓扑结构的基础上完成传感器的部署， 部署拓扑图如图所示。部署拓扑图如图所示。 任务分析任务分析 返回返回 下页下页 工作任务工作任务 上页上页 这样部署的优点

11、是配这样部署的优点是配 置简单、灵活，使用置简单、灵活，使用 方便，不需要中断网方便，不需要中断网 络。络。 条件准备条件准备 张老师选择了一台计算机作为管理平台，该计算机张老师选择了一台计算机作为管理平台，该计算机 的操作系统为的操作系统为Windows 2003Server企业版，内存为企业版，内存为 2GB，硬盘剩余空间在，硬盘剩余空间在100GB以上。张老师在该计算机以上。张老师在该计算机 中安装了中安装了SQL Server 2000数据库软件，并对该软件至数据库软件，并对该软件至 少进行了少进行了SP3的补丁升级，打开的补丁升级，打开SQL Server服务管理器，服务管理器， 启

12、动启动SQL Server服务。服务。 张老师利用购置张老师利用购置RG-IDS设备中的一条设备中的一条console线将线将 传感器的传感器的“conslole”接口与一台操作系统为接口与一台操作系统为Windows XP的计算机相连，用于配置传感器（也可以将传感器直的计算机相连，用于配置传感器（也可以将传感器直 接与管理平台相连，由于管理平台的操作系统是接与管理平台相连，由于管理平台的操作系统是 Windows 2003 Server，默认时没有，默认时没有“超级终端超级终端”，需，需 要添加该程序）。要添加该程序）。 使用一条交叉线管理平台计算机网卡接口与传感器使用一条交叉线管理平台计算

13、机网卡接口与传感器 的的“MGT”接口相连，用于管理传感器并接收检测信息。接口相连，用于管理传感器并接收检测信息。 返回返回 下页下页 工作任务工作任务 上页上页 实践操作实践操作 实践操作实践操作 返回返回 下页下页 上页上页 1. 1. 配置传感器配置传感器 3安装事件收集服务器安装事件收集服务器 4安装控制台安装控制台 10. 对网络内部主机进行入侵检测对网络内部主机进行入侵检测 7安装报表安装报表 9数据库维护数据库维护 8登录和查看报表登录和查看报表 6启动和配置管理控制台启动和配置管理控制台 2安装安装LogServer 5启动应用服务启动应用服务 1.配置传感器配置传感器 打开传

14、感器的开关，启动传感器。打开传感器的开关，启动传感器。 在配置传感器的计算机（操作系统为在配置传感器的计算机（操作系统为Windows XP） 的的“附件附件”菜单的菜单的“通讯通讯”选项中启动选项中启动“超级终端超级终端”， 新建连接，选择与传感器相连的新建连接，选择与传感器相连的“COM1”接口，并在接口，并在 “端口设置端口设置”对话框中点击对话框中点击“还原为默认值还原为默认值”按钮，单按钮，单 击击“确定确定”按钮，等待登录。敲击两次回车键后，提示按钮，等待登录。敲击两次回车键后，提示 输入输入RG-IDS传感器的配置密码，默认密码为传感器的配置密码，默认密码为“demo”。 输入密

15、码后敲击回车键打开输入密码后敲击回车键打开RG-IDS传感器的配置主菜传感器的配置主菜 单界面，如图所示。单界面，如图所示。 实践操作实践操作 返回返回 下页下页 上页上页 1.配置传感器配置传感器 其中：其中： “Return to status monitor”菜单：菜单：进入状态检测窗口，进入状态检测窗口， 显示如下信息：显示如下信息： cpu usage显示显示CPU的使用率；的使用率； real memory显示实际内存的使用情况；显示实际内存的使用情况； 实践操作实践操作 返回返回 下页下页 上页上页 1.配置传感器配置传感器 virtual memory显示虚拟内存的使用情况；显

16、示虚拟内存的使用情况； disk space显示磁盘空间的使用情况；显示磁盘空间的使用情况； package reception显示捕捉包的数量；显示捕捉包的数量； package/backend status显示安装、启用、失败显示安装、启用、失败 的包的数量。的包的数量。 “Access administration”菜单：菜单：进入管理窗口，进行进入管理窗口，进行 如下配置：如下配置： set administrator password设置管理员密码，设置管理员密码， 需要重复输入两次；需要重复输入两次； license key输入或修改输入或修改license key “Set da

17、te and time”菜单：菜单：进入时间配置窗口，可以配进入时间配置窗口，可以配 置时区和时间。在中国地区应设置为置时区和时间。在中国地区应设置为PRC。 实践操作实践操作 返回返回 下页下页 上页上页 1.配置传感器配置传感器 “Configure networking”菜单：菜单：进入网络配置窗口，该菜单进入网络配置窗口，该菜单 为传感器的主要配置菜单，进行如下配置：为传感器的主要配置菜单，进行如下配置： Name of this Station设置传感器的名字；设置传感器的名字； Management Interface选择管理（选择管理（MGT）接口，一般）接口，一般 情况下情况下

18、“MGT”接口为接口为“fxp0”，应将本选项修改为，应将本选项修改为“fxp0”， 并保存；并保存； IP Address设置传感器的设置传感器的IP地址，默认为地址，默认为 192.168.0.254； Network Mask设置网络掩码；设置网络掩码； Default Route设置缺省网关；设置缺省网关； IP of RG-IDS Server输入事件收集器（输入事件收集器（EC）的）的IP地址，地址， 默认为默认为192.168.0.253； Encrypotion Passphrase输入加密串；输入加密串； Retype Encrypotion Passphrass重新输入加密

19、串；重新输入加密串； IP of Second RG-IDS Server输入备份输入备份EC的的IP地址；地址； Encrypotion Passphrase输入加密串；输入加密串； Retype Encrypotion Passphrass重新输入加密串。重新输入加密串。 实践操作实践操作 返回返回 下页下页 上页上页 1.配置传感器配置传感器 “Set interface media and duplex”菜单：菜单：配置网卡属性。配置网卡属性。 “Network information”菜单：菜单：查看网卡的设置信息，此时该选项查看网卡的设置信息，此时该选项 中的中的“fxp0”的状态

20、应为的状态应为“active”。 “Disable serial console或者或者Enable serial console”菜单：菜单：进行进行 串口管理控制。串口管理控制。 “Load configuration from floppy”菜单：菜单：从软盘上加载设置。从软盘上加载设置。 “Save configuration to floppy”菜单：菜单： 将设置保存到软盘。将设置保存到软盘。 “Restart RG-IDS Sensor”菜单：菜单：选择选择“Y”，可以重新启动传感器。，可以重新启动传感器。 “Halt RG-IDS Sensor”菜单：菜单：选择选择“Y”，可以

21、关闭传感器。，可以关闭传感器。 “Purge all data”菜单：菜单：选择选择“Y”，可以清除传感器硬盘上的所有，可以清除传感器硬盘上的所有 安全事件。安全事件。 “Uninstall RG-IDS Sensor”菜单：菜单：选择选择“Y”，可以卸载传感器，可以卸载传感器， 卸载方式有两种：卸载方式有两种：“slow”和和“faster”。 实践操作实践操作 返回返回 下页下页 上页上页 2安装安装LogServer LogServer从某种意义上说是一个数据库管理器。从某种意义上说是一个数据库管理器。 它包含它包含LogServer服务和服务和DB（数据库）两部分。为了便（数据库）两部

22、分。为了便 于用户操作，于用户操作，LogServer数据库管理器被集成在数据库管理器被集成在 console（控制台）上，用户可以通过（控制台）上，用户可以通过console直接管直接管 理理LogServer。在安装。在安装LogServer之前，必须安装好数之前，必须安装好数 据库。否则无法安装据库。否则无法安装LogServer。 在管理计算机中启动在管理计算机中启动RG-IDS产品的安装程序，选择产品的安装程序，选择 “安装安装LogServer”组件，启动组件，启动LogServer组件的安装向组件的安装向 导。在安装过程中，完成确认导。在安装过程中，完成确认“许可证协议许可证协议

23、”、输入客、输入客 户名称和公司名称、选择安装路径、选择程序文件夹等户名称和公司名称、选择安装路径、选择程序文件夹等 几个步骤。几个步骤。 安装完成后，出现安装完成后，出现“数据服务初始化配置数据服务初始化配置”窗口窗口 （也可通过点击（也可通过点击“开始开始程序程序锐捷入侵检测系统锐捷入侵检测系统锐锐 捷入侵检测系统（网络）捷入侵检测系统（网络）RG-IDS数据服务安装数据服务安装”命命 令，进入该窗口），如图所示。令，进入该窗口），如图所示。 实践操作实践操作 返回返回 下页下页 上页上页 2安装安装LogServer 在该窗口的在该窗口的“服务器地址服务器地址”中输入数据库服务器中输入数

24、据库服务器 （本机）的（本机）的IP地址；地址；“数据库名称数据库名称”默认；默认；“访问账户访问账户 名和访问密钥串名和访问密钥串”输入安装数据库时的账户名（输入安装数据库时的账户名（sa）和）和 密码；密码；“数据库创建路径配置数据库创建路径配置”中输入安装程序在创建中输入安装程序在创建 目标数据库时将要建立的数据库文件的存放路径，本例目标数据库时将要建立的数据库文件的存放路径，本例 为为“D:RG-IDSDB”。 实践操作实践操作 返回返回 下页下页 上页上页 2安装安装LogServer 该路径应事先建立完成，且该路径所在磁盘至少存该路径应事先建立完成，且该路径所在磁盘至少存 在在1G

25、B以上的剩余空间；以上的剩余空间；“安全事件数据文件本地存放安全事件数据文件本地存放 路径配置路径配置”中输入存放安全事件数据文件的本地路径，中输入存放安全事件数据文件的本地路径， 本例为本例为“D:RG-IDSEvent”。该路径也应事先建立完成，。该路径也应事先建立完成， 且该路径所在磁盘至少存在且该路径所在磁盘至少存在1.5GB以上的剩余空间。两以上的剩余空间。两 个存放路径尽量不要选择在系统盘中。个存放路径尽量不要选择在系统盘中。 输入配置信息后，单击输入配置信息后，单击“测试测试”按钮。如果配置正按钮。如果配置正 确，系统会提示确，系统会提示“数据库测试连接成功！数据库测试连接成功！

26、”。测试成功。测试成功 后，点击后，点击“确定确定”按钮，系统开始创建数据库，创建成按钮，系统开始创建数据库，创建成 功后，系统会提示功后，系统会提示“数据库初创建成功数据库初创建成功!” 实践操作实践操作 返回返回 下页下页 上页上页 3安装事件收集服务器安装事件收集服务器 实践操作实践操作 返回返回 下页下页 上页上页 事件收集服务器可以实现集中管理传感器及其数据，事件收集服务器可以实现集中管理传感器及其数据， 控制传感器的启动和停止，收集传感器日志信息，并且控制传感器的启动和停止，收集传感器日志信息，并且 把相应的策略发送传感器，以及管理用户权限、提供对把相应的策略发送传感器，以及管理用

27、户权限、提供对 用户操作的审计等功能。用户操作的审计等功能。 在管理计算机中启动在管理计算机中启动RG-IDS产品的安装程序，选择产品的安装程序，选择 “安装事件收集服务器安装事件收集服务器”，启动事件收集器的安装向导。，启动事件收集器的安装向导。 在安装过程中，完成确认在安装过程中，完成确认“许可证协议许可证协议”、输入客户名、输入客户名 称和公司名称、选择安装路径、选择程序文件夹等几个称和公司名称、选择安装路径、选择程序文件夹等几个 步骤。步骤。 事件收集服务器安装完成后，必须安装许可密钥。事件收集服务器安装完成后，必须安装许可密钥。 密钥文件定义了密钥文件定义了 RG-IDS 的认证信息

28、及用户信息。它包的认证信息及用户信息。它包 含了所授权的产品、升级服务时限以及用户注册信息。含了所授权的产品、升级服务时限以及用户注册信息。 必须拥有许可密钥，必须拥有许可密钥，RG-IDS才能正常工作。才能正常工作。 3安装事件收集服务器安装事件收集服务器 实践操作实践操作 返回返回 下页下页 上页上页 将将RG-IDS的许可证的许可证“License”光盘放入光驱，该光盘光盘放入光驱，该光盘 中有一个中有一个“License”文件夹，其中包含传感器对应的密文件夹，其中包含传感器对应的密 钥文件。钥文件。 运行运行“开始开始程序程序锐捷入侵检测系统锐捷入侵检测系统锐捷入侵检测锐捷入侵检测 系

29、统（网络）系统（网络）安装许可证安装许可证”命令，打开命令，打开“License安安 装装”窗口，如图所示。窗口，如图所示。 3安装事件收集服务器安装事件收集服务器 实践操作实践操作 返回返回 下页下页 上页上页 单击单击“浏览浏览”按钮，选择光盘中的密钥文件，由于事件按钮，选择光盘中的密钥文件，由于事件 收集器可以采集多个传感器的信息，因此，可以选择多收集器可以采集多个传感器的信息，因此，可以选择多 个传感器所对应的密钥文件，如图所示。个传感器所对应的密钥文件，如图所示。 3安装事件收集服务器安装事件收集服务器 实践操作实践操作 返回返回 下页下页 上页上页 单击单击“打开打开”按钮，将所选

30、择的密钥文件导入到按钮，将所选择的密钥文件导入到 License安装界面，如图所示。安装界面，如图所示。 单击单击“安装安装”按钮，密钥文件被安装到相应的目录下，按钮，密钥文件被安装到相应的目录下， 并弹出并弹出“License文件安装成功文件安装成功”的提示对话框。的提示对话框。 4安装控制台安装控制台 实践操作实践操作 返回返回 下页下页 上页上页 控制台是图形用户界面（控制台是图形用户界面（GUI），通过控制台可以），通过控制台可以 配置和管理所有的传感器并接收事件报警，配置和管理配置和管理所有的传感器并接收事件报警，配置和管理 对于不同安全事件的响应方式，配置和管理对于不同安全事件的响

31、应方式，配置和管理LogServer， 生成并查看关于安全事件、系统事件和审计事件的统计生成并查看关于安全事件、系统事件和审计事件的统计 报告。报告。 在管理计算机中启动在管理计算机中启动RG-IDS产品的安装程序，选择产品的安装程序，选择 “安装管理控制台安装管理控制台”，启动控制台的安装向导。在安装，启动控制台的安装向导。在安装 过程中，完成确认过程中，完成确认“许可证协议许可证协议”、输入客户名称和公、输入客户名称和公 司名称、选择安装路径、选择程序文件夹等几个步骤。司名称、选择安装路径、选择程序文件夹等几个步骤。 5启动应用服务启动应用服务 实践操作实践操作 返回返回 下页下页 上页上

32、页 应用服务包括应用服务包括“事件收事件收 集服务集服务”、“安全事件响应安全事件响应 服务服务”和和“IDS数据管理服数据管理服 务务”，只有服务启动后，系，只有服务启动后，系 统才能正常工作。统才能正常工作。 运行运行“开始开始程序程序锐锐 捷入侵检测系统捷入侵检测系统锐捷入侵锐捷入侵 检测系统（网络）检测系统（网络）RG- IDS 服务管理服务管理”，在，在“应用应用 服务管理器服务管理器”窗口的窗口的“应用应用 服务服务”中选择中选择“事件收集服事件收集服 务务”后点击后点击“开始开始”按钮，按钮， 启动服务，如图所示。启动服务，如图所示。 如果用户选中窗口下方的如果用户选中窗口下方的

33、“当启动当启动OS时自动启动服务时自动启动服务” 复选框，可以避免用户每次登录系统后，都要进行复选框，可以避免用户每次登录系统后，都要进行“启动启动 应用服务应用服务”的操作。的操作。 6启动和配置管理控制台启动和配置管理控制台 实践操作实践操作 返回返回 下页下页 上页上页 1.启动管理控制台启动管理控制台 2.创建用户创建用户 3.添加组件添加组件 4.对传感器应用策略对传感器应用策略 5.查看安全事件查看安全事件 7安装报表安装报表 实践操作实践操作 返回返回 下页下页 上页上页 报表子系统作为系统管理平台事后数据统计分报表子系统作为系统管理平台事后数据统计分 析显示的重要工具，是系统管

34、理平台的重要组成部析显示的重要工具，是系统管理平台的重要组成部 分。报表子系统提供了安全事件、系统事件、审计分。报表子系统提供了安全事件、系统事件、审计 事件的统计图表信息和系统事件、审计事件的详细事件的统计图表信息和系统事件、审计事件的详细 信息。信息。 在管理计算机中启动在管理计算机中启动RG-IDS产品的安装程序，产品的安装程序， 选择选择“安装报表及查询工具安装报表及查询工具”，启动报表的安装向，启动报表的安装向 导。在安装过程中，完成确认导。在安装过程中，完成确认“许可证协议许可证协议”、输、输 入客户名称和公司名称、选择安装路径、选择程序入客户名称和公司名称、选择安装路径、选择程序

35、 文件夹等几个步骤。文件夹等几个步骤。 8登录和查看报表登录和查看报表 实践操作实践操作 返回返回 下页下页 上页上页 单击管理控制台界单击管理控制台界 面工具栏中的面工具栏中的“报表报表” 按钮，或者运行按钮，或者运行“开始开始 程序程序锐捷入侵检测锐捷入侵检测 系统系统锐捷入侵检测系锐捷入侵检测系 统（网络）统（网络）RG-IDS 报表生成器报表生成器”，可以打，可以打 开报表登录界面开报表登录界面 其中其中“事件收集器事件收集器” 输入管理机的输入管理机的IP地址地址 （192.168.0.253），）， 帐号和密码输入在控制台中新建立的用户账号和密码，帐号和密码输入在控制台中新建立的用

36、户账号和密码， 报表生成器与事件收集器的默认通信端口为报表生成器与事件收集器的默认通信端口为“3002”， 由于管理机本身也是数据库服务器，所以由于管理机本身也是数据库服务器，所以“数据服务器数据服务器” 文本框中也输入文本框中也输入IP地址地址192.168.0.253，报表生成器与数，报表生成器与数 据据 8登录和查看报表登录和查看报表 实践操作实践操作 返回返回 下页下页 上页上页 服务器的默认通服务器的默认通 信端口为信端口为 “3003”。单击。单击 “确定确定”按钮登按钮登 录。打开报表生录。打开报表生 成器界面，如图成器界面，如图 所示。该界面以所示。该界面以 表格和图形两种表格

37、和图形两种 方式显示检测报方式显示检测报 表。表。 9数据库维护数据库维护 实践操作实践操作 返回返回 下页下页 上页上页 运行运行“开始开始程序程序 锐捷入侵检测系统锐捷入侵检测系统锐锐 捷入侵检测系统（网络）捷入侵检测系统（网络） RG-IDS 数据库维护工数据库维护工 具具”，可以打开数据库，可以打开数据库 维护工具登录界面，输维护工具登录界面，输 入事件收集器入事件收集器EC的的IP地地 址、管理用户的账号和址、管理用户的账号和 密 码 以 及 通 信 端 口 号密 码 以 及 通 信 端 口 号 （默认为（默认为“3002”），单），单 击击“确定确定”按钮，进入按钮，进入 “Log

38、Server数据维护数据维护 工具工具”对话框，如图所对话框，如图所 示。示。 9数据库维护数据库维护 实践操作实践操作 返回返回 下页下页 上页上页 在在“操作类型操作类型”中选择需要进行维护的数据类型中选择需要进行维护的数据类型 和数据维护的目的；在和数据维护的目的；在“操作选项操作选项”中选择维护操作中选择维护操作 的时间段，输入数据库文件的路径；如果维护操作为的时间段，输入数据库文件的路径；如果维护操作为 备份数据库，还需要设置备份数据库，还需要设置“备份文件打包选项备份文件打包选项”。单。单 击击“开始开始”按钮完成数据库维护操作。按钮完成数据库维护操作。 10. 对网络内部主机进行

39、入侵检测对网络内部主机进行入侵检测 实践操作实践操作 返回返回 下页下页 上页上页 使用一条直连线将传感器的使用一条直连线将传感器的“MON”接口和内部网络交接口和内部网络交 换机的目的（镜像）端口连接起来。将需要进行入侵检测的换机的目的（镜像）端口连接起来。将需要进行入侵检测的 主机连接到该交换机上，并将这些主机与交换机的连接端口主机连接到该交换机上，并将这些主机与交换机的连接端口 镜像到交换机的目的端口上。镜像到交换机的目的端口上。 举例说明：举例说明： 将连接学校内网的交换机的端口将连接学校内网的交换机的端口f0/1连接到连接到IDS传感器的传感器的 监控接口（监控接口（“MON” 接口

40、），然后将其他主机与交换机的连接口），然后将其他主机与交换机的连 接端口都镜像到接端口都镜像到f0/1口。在交换机上配置镜像端口的命令如口。在交换机上配置镜像端口的命令如 下：下： (1) 配置源端口配置源端口（即连接主机的端口）（即连接主机的端口） Monitor session 1 source interface f0/2-24 both (2) 配置目的端口配置目的端口（即连接（即连接IDS传感器传感器“MON”接口的端口）接口的端口） Monitor session 1 destination interface f0/1 这样，利用管理机和传感器就可以检测到这些连接到交换这样，利用

41、管理机和传感器就可以检测到这些连接到交换 机的主机之间的数据通信，并检测到入侵行为了。机的主机之间的数据通信，并检测到入侵行为了。 问题探究问题探究 问题探究问题探究 返回返回 下页下页 上页上页 2RG-IDS的特点的特点 1.入侵检测系统应满足的要求入侵检测系统应满足的要求 3.部署部署RG-IDS传感器应考虑的问题传感器应考虑的问题 问题探究问题探究 1.入侵检测系统应满足的要求入侵检测系统应满足的要求 保护网络是一项持久的任务，它包括保护、监视、保护网络是一项持久的任务，它包括保护、监视、 测试，以及不断的改进。测试，以及不断的改进。“入侵检测系统入侵检测系统”必须满足许必须满足许 多

42、要求，以提供有效的安全保障，主要的要求包括：多要求，以提供有效的安全保障，主要的要求包括： （1）实时操作。）实时操作。 （2）可以升级。）可以升级。 （3）可运行在常用的网络操作系统上。）可运行在常用的网络操作系统上。 （4）易于配置。）易于配置。 （5）易于管理。）易于管理。 （6）易于改变安全策略。）易于改变安全策略。 （7）不易察觉。）不易察觉。 返回返回 下页下页 上页上页 问题探究问题探究 2RG-IDS的特点的特点 （1）配置简单、使用方便。）配置简单、使用方便。 （2）检测基于网络的攻击。）检测基于网络的攻击。 （3）攻击者不易转移证据。）攻击者不易转移证据。 （4）实时检测和

43、响应。）实时检测和响应。 （5）对网络几乎没有影响。）对网络几乎没有影响。 （6）系统本身安全可靠。）系统本身安全可靠。 （7）升级迅速及时）升级迅速及时 返回返回 下页下页 上页上页 问题探究问题探究 3部署部署RG-IDS传感器应考虑的问题传感器应考虑的问题 RG-IDS依赖于一个或多个传感器监测网络数据流。依赖于一个或多个传感器监测网络数据流。 传感器在某些重要位置的部署对于传感器在某些重要位置的部署对于RG-IDS能否发挥作能否发挥作 用至关重要。用至关重要。 （1）分析网络拓扑图结构。）分析网络拓扑图结构。 （2）分析网络入口点。）分析网络入口点。 （3）确定关键网络组件。）确定关键

44、网络组件。 （4）网络大小和复杂度。）网络大小和复杂度。 返回返回 下页下页 上页上页 知识拓展知识拓展 知识拓展知识拓展 返回返回 下页下页 上页上页 1.不同环境中部署不同环境中部署RG-IDS传感器传感器 2.传感器的部署位置传感器的部署位置 知识拓展知识拓展 1.不同环境中部署不同环境中部署RG-IDS传感器传感器 RG-IDS传感器的部署与传感器的部署与 网络拓扑、采用的安全策略、网络拓扑、采用的安全策略、 每秒检测到的安全事件、机器每秒检测到的安全事件、机器 的硬件配置等各种环境参数相的硬件配置等各种环境参数相 关。下面列举几个在不同的网关。下面列举几个在不同的网 络环境中部署络环

45、境中部署RG-IDS传感器传感器 的方法。的方法。 共享网络共享网络。在非交换式。在非交换式 网络中，传感器能检测到所有网络中，传感器能检测到所有 的通信。传感器所监测的接口的通信。传感器所监测的接口 处于混杂模式，这就意味着它处于混杂模式，这就意味着它 会接收所有数据包，而不考虑会接收所有数据包，而不考虑 它们的目标地址。它们的目标地址。部署拓扑部署拓扑 图如图所示。图如图所示。 返回返回 下页下页 上页上页 知识拓展知识拓展 1.不同环境中部署不同环境中部署RG-IDS传感器传感器 接入接入Hub的交换的交换 式网络。式网络。在在switch和和 router之间接入一个之间接入一个 Hu

46、b，把一个交换环境，把一个交换环境 转换为共享环境。这样转换为共享环境。这样 做的优点是简单易行，做的优点是简单易行， 成本低廉。如果客户对成本低廉。如果客户对 网络的传输速度和可靠网络的传输速度和可靠 性要求不高，可以采用性要求不高，可以采用 这种方式。部署拓扑图这种方式。部署拓扑图 如图所示。如图所示。 返回返回 下页下页 上页上页 知识拓展知识拓展 1.不同环境中部署不同环境中部署RG-IDS传感器传感器 采用分支器的交换采用分支器的交换 式网络。式网络。如果交换机不如果交换机不 支持端口镜像功能，或支持端口镜像功能，或 者出于性能的考虑不便者出于性能的考虑不便 启用该功能，可以采用启用

47、该功能，可以采用 TAP（分支器）。它的（分支器）。它的 优点是能够支持全双工优点是能够支持全双工 100Mbps或者全双工或者全双工 1000Mbps的网络流量。的网络流量。 部署拓扑图如图所示。部署拓扑图如图所示。 返回返回 下页下页 上页上页 知识拓展知识拓展 1.不同环境中部署不同环境中部署RG-IDS传感器传感器 全冗余的高全冗余的高 可用性网络。可用性网络。在在 这种情况下，任这种情况下，任 何一个传感器或何一个传感器或 者链路发生故障，者链路发生故障， 都不会中断对网都不会中断对网 络的实时监测。络的实时监测。 部署拓扑图如图部署拓扑图如图 所示。所示。 返回返回 下页下页 上页

48、上页 知识拓展知识拓展 2传感器的部署位置传感器的部署位置 在分析网络资源和拓扑图结在分析网络资源和拓扑图结 构之后，还需要在网络中设置传构之后，还需要在网络中设置传 感器的位置。虽然每个网络都是感器的位置。虽然每个网络都是 独一无二的，但是传感器部署的独一无二的，但是传感器部署的 位置一般集中在一些常见的功能位置一般集中在一些常见的功能 边界，下面介绍几个常见的部署边界，下面介绍几个常见的部署 位置。位置。 边界保护边界保护 传感器负责监视网络的边界。传感器负责监视网络的边界。 在大多数网络中，边界保护是指在大多数网络中，边界保护是指 在内部网络和在内部网络和Internet之间的链之间的链 路。注意：一定要将传感器部署路。注意：一定要将传感器部署 到内部网络与到内部网络与Internet的所有连的所有连 接链路中，任何到接链路中，任何到Internet的连的连 接都需要被监视接都需要被监视. 返回返回 下页下页 上页上页 知识拓展知识拓展 2传感器的部署位置传感器的部署位置 在防火墙的内部在防火墙的内部 在防火墙内部安装在防火墙内部安装 网络传感器，可以检测网络传感器，可以检测 到