启明星辰入侵检测设备配置文档

1、启明星辰入侵检测设备配置说明系统集成室启 明 星 辰入侵检测设备配置说 明天阗 NT60O-TC-BRP第1章设备概述与工作流程介绍1.1设备概述入侵检测设备是一个典型的"窥探设备"。它不跨接多个物理网段（通常只有一个监听端口）， 无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报 文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反击。不同于防火墙，IDS入侵检测设备是一个监听设备

2、， 没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。典型拓扑：1.2 IDS工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤：1信息收集入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态 和行为。2信号分析 对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和 完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。具体的技术形式如下所述：1）.模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比 较，从而发现违背安全

3、策略的行为。2）.统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。3）.完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。 完整性分析利用强有力的加密机 制，称为消息摘要函数（例如 MD5 ），能识别及其微小的变化。第2章启明星辰入侵检测 设备的安装介绍2.1产品外观从左到右分别是：管理口， USB 口，1-5

4、业务口2.2安装与配置步骤产品安装与部署步骤包括：控制中心安装和引擎安装部署。控制中心需要安装在一台PC 上,即需要为IDS入侵检测设备配置一台专门的工作站。这里提到的引擎就是指入侵检测设备。2.2.1控制中心的安装步骤1） 准备一台工作站，安装上win server操作系统，可以是 Windows Server 2008 R2 Standard64位或者是 Windows Server 2012 R2 standard 64位，（现场测试时，Win7 64位操作系统不能通过HTTP方式配置引擎）；2） SQL server数据库安装：在随机附带的安装光盘中有SQL server数据库安装包，

5、具体步骤如下:双击“ SQLServer 2008 Express.exe ， 等待一会，进入SQL Server 安 装中心界面： 点击“安装”， 选择“全新SQLServer独立安装或向现有安装添加功能” 一项:点击“确定”进入产品密钥界面: 启明星辰入侵检测设备配置说明系统集成室选择默认实例后，点击下一步：产品密钥点击“下一步”按钮，进入许可条款界 g 制n面，勾选“我接受许可条款（A）”:点击“安装”按钮:VSUL S*rnr Z»麦茎程洋支特文件单击“玄藩”型記眩潼程席支清文件* MAMWUUi an弧和bob 谧文詳是咎£的。SQL賈慕相闸SJTT刊锢件I）賣賛

6、程斥竟得龙件E1W7选择所要安装的功能以及共 享功能目录 后，点击“下 一步”按钮， 进入实例配置 界面：T - ；：耳】-3 -配置好账号密码：(如有疑问，参考附件中天阗入侵检测与管理系统 V7040用户安装手册25-29 业步骤)选择混合模式，并添加管理员，点击下一步：点击下一步，然后选择安装，安装完成后选择关闭即可：需要注意的是：数据库管理软件安装完成后打开程序 Microsoft SQL Server 2008配置工具 一 Sql Server配 置管理器 一 SQL Server Configuration Manage SQL Server 200网络配置 一 SQLEXPRESS

7、协议 中的TCP/IP状态为已启用，如果是禁用状态，请将该状态改为已启用，并且修改TCP端口为8080, 然后在SQL Server 200服务一 选择SQL Server (MSSQLSERVER右键选择重新启动数据库安装完成并重启服务后查看打开控制面板一 性能维护一 管理工具一 服务，查看SQLServer(MSSQLSERVER务，点击到登陆页面查看登陆身份是否为本地系统如果不是请调整到本地服务3）天阗入侵检测与管理系统V7.0安装点击运行 天阗入侵检测与管理系统.exe”安装提示点击下一步，选择好安装目录，点击安装即可。其中需要配置业务数据导入工具，然后点击导入:导入完成后，进行数据库

8、配置和服务端口配置：点击确定，弹出配置修改成功”等待全部安装完成后，重启计算机。222引擎安装配置步骤1）将工作站与IDS入侵检测设备的管理口相连，管理口的默认IP地址是：00,用户名密码分别是：adm/venus70，用http方式登录到引擎中。（现场使用IE浏览器无法显示页面内 容，更换成谷歌浏览器之后可以正常显示）2）登录成功之后，选择常用配置 ->组件管理->引擎配置->点击“新建”按钮，添加引擎:3）事件库更新：从官网下载最新的对应型号设备的事件库文件，进行更新。*±4）策略定2016-433-08ft®好10方式WHS空坠

9、' 1SB=1爭忡呂耳 ARP(2) AUTM(2) DHS(27) F£NGI：H(21) FTP(7G).HTTP(2903) ICMP(29卜!GRP(1制和下发：在常用配置->策略管理->策略集-> 点击“新建”：选择需要的事件进行提交：提交完成后，在组件管理-> 组件状态管理-> 选择需要应用到的网络引擎，进行策略下发和应用。223业务配置选择其中一个业务口，将其接入所要检测的网络中，一般是接入到交换机中，布线完成后，需要在交换机上做镜像口配置，用于统计监视各端口网络流量。 不同型号的交换机配置命令不同， 详 细信息参考附件中天阗入侵检测与管