启明星辰入侵检测设备配置文档

1、启明星辰入侵检测设备配置说明上一出曲"下一爭rm ；盼 I天阗 NT600-TC-BRP第 1章 设备概述与工作流程介绍设备概述入侵检测设备是一个典型的 " 窥探设备 " 。它不跨接多个物理网段（通常只有一个监 听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集它所关心的报文 即可。对收集来的报文，入侵检测设备提取相应的流量统计特征值，并利用内置的入侵 知识库，与这些流量特征进行智能分析比较匹配。根据预设的阀值，匹配耦合度较高的 报文流量将被认为是进攻，入侵检测系统将根据相应的配置进行报警或进行有限度的反 击。不同于防火墙，IDS入侵检测设备是一个监

2、听设备， 没有跨接在任何链路上，无须网 络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所 关注流量都必须流经的链路上。典型拓扑：IDS 工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤：1. 信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活 动的状态和行为。2. 信号分析 对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统 计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后 分析。具体的技术形式如下所述：1）. 模式匹配，模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据 库进行比较

3、，从而发现违背安全策略的行为。2）. 统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创 建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时 等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差 之外时，就认为有入侵发生。3）. 完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文件和目录 的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析 利用强有力的加密机制，称为消息摘要函数（例如 MD5,能识别及其微小的变化。第 2 章 启明星辰入侵检测 设备的安装介绍产品外观从左到右分别是：管理

4、口， USB口，1-5业务口安装与配置步骤 产品安装与部署步骤包括： 控制中心安装和引擎安装部署。 控制中心需要安装在一台PC上，即需要为IDS入侵检测设备配置一台专门的工作站。这里提到的引擎就是指入侵 检测设备。控制中心的安装步骤1） 准备一台工作站，安装上 win server操作系统，可以是 WindowsServer 2008 R2 Standard 64 位或者是 Windows Server 2012 R2 standard 64位，（现场测试时，Win7 64位操作系统不能通过HTTP方式配置引擎）；SQLServer数据库安装2）SQLserver数据库安装：在随机附带的安装光

5、盘中有 包，具体步骤如下：双击“ SQL Server 2008 ” ，等待一会，进入 SQL Server安装中心界面： 点击“安装”，选择“全新SQL Server独立安装或向现有安装添加功能” 一项：计划安装绘护IB册S银y S4L £»t»i«*a 喪产品毎钥ft可李衣戏茱程号吏捋立（4tfiit SyL SfT«r的司用簸$ h戟捋出SOL 3r r£吏拐E!皈应SQL血tb 曲饴实例-（hA 啊g，订I鳥dtft虜?=S邑裳上的SS亓手曲莊貯如#您扌瓏 3 FT 5 hSEs 阳瑟 珂在«送£馬in 输

6、艺曼虹一十醉車看聂虽悍亠rHU滴运齐IfttttKMS得，厂 -|SJL 5"矿国SQL Sirvtr匚 SQLServerxiofi吐 SQL Si牛町条款“确定”进入产品密 钥界面：点击“下若»發共EftL弭严就05.必剜燮龜件许司择毅"戶di童钥 洙可 妄峯冃学席支特哭件MICROSOFT軟羸授權榇款HltUOSOFl SQL SLRVLK 20<18 LXPKLSS WHH TOOLS LD111ON MICROSOFT SQi SERVER 200H EXPRESS WIlH ADVANCED SfRVICES EDITION工披卷If鬆弹一te曲

7、 貫用戶貝卜匚吒乂比4；5：5«僅酒視 賈用戶所居庄的卷居而走 二闕斷反立龙囱»。“ sa业IS爱就«潮笊上曲nt -赳拈 員陌臣 制邂的« ¥儂胃的掘 ®茎样:IT亦a硼海问H E朋W玻針之忖看上理瑁目気附対*蚪（用則冨伽哉aft«.用rifekWil 一fiittm * 1«*去AMQH倍tA若梓起tSf*：箱.工i«MQ3)cnA/±M：ezJ步” 按 钮， 进入 许可 条款 界 面， 勾选“我 接受 许可盯晶D条款（A）”：点击“安装”按钮:i；SaL S.rT.r ZODB 累農SHE

8、-1 QI I竇装笹序支持文件草占-妄芸-罠套;蘇削T吏搏文rtn若矍吏装或s#泌3址冷 Me,還独史件工心S5的-产品密ffl 奋可芋盂1加斷13網裱牌jm正在电行ML环吋 責和気尉S要下邨冃件选择 所要 安装 的功 能以 及共 享功 能目 录后， 点击“下正5血冇liiscdlur 口步”按钮，进入 实例 配置 界面：选择默认实例后，点击下一步：配置好账号密码：（如有疑问，参考附件中天阗入侵检测与管理系统 手册25-29业步骤）选择混合模式，并添加管理员，点击下一步：点击下一步，然后选择安装，安装完成后选择关闭即可： 需要注意的是：数据库管理软件安装完成后打开程序 Microsoft SQ

9、LServer 2008 配置工具 一 Sql Server配置管理器> SQL Server Con figurati on Man agerV7040用户安装> SQL Server 2008网络配置一>w 址 Sv：L qih""g rw-.i TChLf T" K Pj(p四4 b IQL9 0ntiftig *«*站？*TEiML I* . " >.- *-5i-蚀旧gg，7>,v* *2 EJ Qis £Z 仙2 rWu i就i二r “ Jg卫丁gry I洛匸 E TCE-zId.他, I h

10、 MtrU '"gkI心¥I A.tJi-冲> 二二"F! IJ fS, *«*«* "mW K> ft心尊SQLEXPRESS协议中的TCP/IP状态为已启用，如果是禁用状态，请将该状态改为已启用， 并且修改 TCP端口为 8080，然后在 SQL Server 2008 服务一 > 选择 SQL Server （MSSQLSERVER）>右键选择重新启动数据库安装完成并重启服务后查看打开控制面板一 > 性能维护 一> 管理工具 一>服务，查看SQL Server（MSSQLSERV

11、E服务，点击到登陆页面查看登陆身份是否为本地 系统如果不是请调整到本地服务。3）天阗入侵检测与管理系统安装点击运行“天阗入侵检测与管理系统.exe ”，安装提示点击下一步，选择好安装目录， 点击安装即可。其中需要配置业务数据导入工具，然后点击导入：导入完成后，进行数据库配置和服务端口配置：点击确定，弹出“配置修改成功”，等待全部安装完成后，重启计算机。引擎安装配置步骤1） 将工作站与IDS入侵检测设备的管理口相连，管理口的默认IP地址是：密码分别 是: adm/venus70，用http方式登录到引擎中。（现场使用IE浏览器无法显示页面内容， 更换成谷歌浏览器之后可以正常显示）2） 登录成功之

12、后，选择常用配置-> 组件管理-> 引擎配置-> 点击“新建”按钮，添 加引擎：3）事件库更新：从官网下载最新的对应型号设备的事件库文件，进行更新。4）策略定制和下发：在常用配置-> 策略管理-> 策略集-> 点击“新建”：2015-08-00选 择 需 要运:n核.* WKAtHAS砂酝賣sues提交完成后，在组件 管理-> 组件状态管 理-> 选择需要应用 到的网络引擎，进行 策略下发和应用。业务配置植择文弔的事件进行提交聞方武悔玻型ARP(3)AinH2)DH5t2Z)F1NGER(21)FTP(7fr)JH975 条HHPU 飢>3)KMPQ册IGMKD选择其中一个业 务口，将其接入所要 检测的网络中，一般 是接入到交换机中，布线完成后，需要在交换机上做镜