天阗入侵检测系统安装配置指导书

1、天阗网络入侵检测系统安装实施指导书目 录第一章 安装引擎3一、正确连接线缆3二、打开超级终端程序3三、选择正确的com口并设置参数4四、输入控制台登录的口令和密码5五、查看当前配置6六、修改IP地址和子网掩码7七、修改路由（网关）8八、提示重启引擎9九、重新进入引擎后检查配置10十、密钥重置10十一、退出配置界面11第二章 安装组件11一、数据库的安装11二、关键组件的安装12三、数据库导入13四、辅助组件的安装14第三章 基本配置阶段14一、建立管理员帐号15二、管理控制中心16三、添加组件16四、启动探测引擎和显示中心18五、配置通讯参数19六、分级管理20七、导入授权文件/录入授权序列号

2、21八、升级事件库22九、编辑并选择策略下发到探测引擎24第四章 数据库维护27一 、自动维护27二、手动维护28三、日志导入30附件一、微软SQLserver系统安装步骤31附件二、ODBC数据源建立和备份库查询38一、配置数据源ODBC38二、使用日志分析中心查询备份库41第一章 安装引擎本文档为天阗6.0网络入侵监测系统（网络型）的基本安装和使用过程。具体参数设置根据实际环境而定。一、 正确连接线缆将控制线缆的一端接到引擎背后有 图标的接口上，另外一端连接配置终端的com口上；将数据线的一端连接到引擎背后有 图标的接口上，一端连接到数据交换机的镜像口上；将数据线的一端连接到引擎背后有 图

3、标的接口上，另一端连接到交换机上用于引擎通讯的端口上。打开引擎电源开关。二、打开超级终端程序 从“开始程序附件通讯超级终端”上打开超级终端程序，如图1-1：图1-1三、选择正确的com口并设置参数进入超级终端的界面后，需要命名，根据需要随意命名。如图1-2：图1-2确认后，选择正确的COM口，根据具体的主机而有所不同。如图1-3：图1-3然后设置正确的参数，具体数值如图1-4所示：图1-4点击确定后回车即可进入配置界面。四、输入控制台登录的口令和密码如图1-5，进入到了网络探测引擎的配置界面。图1-5然后输入用户名：venus；密码：1234567，回车后进入到了菜单形式的配置界面，如图1-6

4、：图1-6五、查看当前配置在配置界面中，选择 1 ，显示当前的配置，如图1-7：图1-7六、修改IP地址和子网掩码根据规划好的IP地址，以ip：192.168.1.200,掩码：255.255.255.0为例。选择选2，进入到配置IP的界面。根据提示，选择网口 3，然后输入ip 地址，在输入网络掩码。系统提示是否同意修改，选择1确认。即可完成地址的修改。如图1-8图1-8七、修改路由（网关）根据需要修改网关，以路由 “.0/0.0.0.0 192.168.1.254”为例。选择选项4，然后输入路有条数1，根据提示，分别输入目标网络地址：0.0.0.0，目标网络掩码：0.0.0.0，网关IP：1

5、92.168.1.254。系统提示是否更改，选择 1 同意修改。然后系统建议重启。如图1-9：图1-9八、提示重启引擎选择选项8 对系统进行重启，然后选1同意重启，系统进入重启阶段；过程如图1-10：图1-10九、重新进入引擎后检查配置几分钟后，系统重启完成，使用用户名和密码重新进入系统，我们选择1显示当前配置，确认ip地址和网关已经配置成功。十、密钥重置为了确保新的控制中心能正确连接引擎，我们需要重置密钥文件，选择选项3，然后选择1 同意密钥重置。如图1-11：图1-11十一、退出配置界面 确认当前配置正确后，选择15，退出配置界面。第二章 安装组件一、数据库的安装 由用户方提供并安装完成s

6、ql server 2000版本的数据库系统，并且打上sp4补丁。如果用户不能提供sql server 2000，则暂时使用MSDE，安装过程如下：放入光盘，自动运行后，在界面上，选中并点击“MSDE数据库”，系统自动安装并完成。安装完成后，需要重启机器。安装视图如图2-1：图2-1二、关键组件的安装重新启动后，运行光盘上的程序，选中“网络入侵检测”并且点击安装，稍后按照：下一步接受许可，下一步输入用户名和公司名，下一步全部安装，下一步使用默认路径，下一步安装即可，过程如图2-2：在安装过程中，系统要求进行数据库初始化，以下为说明，界面如图2-2：图2-2服务器：如果使用的是网络数据库，则输入

7、网络数据库的IP地址；如果使用本地安装的数据库，或者使用原先安装的MSDE数据库，此处不用更改；修改本地数据库密码：如果安装的是MSDE，由于MSDE默认安装的情况下密码为“venus60”，如果我们打算修改该密码，则点击“修改本地数据库密码”，在“sa新口令”和“确认新口令”输入相同的口令后点击确认，稍后出现“密码已更改”的修改成功的提示。如图2-3：图2-3数据库名：数据库名由系统自动生成，可以不做更改；也可以根据需要更改；用户ID：数据库管理员的帐号，默认情况下是sa，可以不做更改； 密码：sa的密码；文件目录：默认情况是系统C盘的根目录。需要在D盘建立相应的文件夹，如D:IDSDB；数

8、据源：系统自动确定，不做改动；数据源名称：系统自动建立，不做更改；三、数据库导入安装过程中出现数据库初始化界面，按照上述说明填入正确参数后，确定提示数据库开始导入，确定。导入过程如图2-4： 图2-4四、辅助组件的安装数据库初始化完成后，提示导入成功，确认后进一步自动安装，出现水晶报表安装界面，下一步接受许可，下一步输入用户名和公司名，下一步全部安装，下一步安装完成；自动安装SNMP组件；自动安装完SNMP组件后，进入升级程序的安装；下一步默认路径，不用修改，下一步安装完成；自动安装升级组件；整个天阗系统至此安装完成。需要重启系统 。第三章 基本配置阶段重新启动系统后，即可进行下面的基本配置。

9、一、建立管理员帐号选中“开始程序启明星辰用户管理审计”，使用用户admin，密码venus60进入用户管理界面。如图3-1：图3-1进入用户管理界面后，点击“添加用户”，在新弹出的界面中输入需要创建的用户名：venus（各地均以此为登陆名），所在组选择“管理员”，密码：venus60(各地统一设置此密码)（数字和字符结合，至少六位）,选中“允许登录”。其他选项可填也可不填。点击“确定”后就创建好了一个新的管理员帐号。其过程如图3-2：图3-2二、管理控制中心 选中“开始程序启明星辰管理控制中心”，提示输入序列号，输入随机光盘封面上的序列号即可。然后进入控制中心初始化界面，所显示的IP地址为系统

10、自动识别的本机地址。在“管理控制中心名字”里面输入易于识别的名称即可。确定后进入了管理控制中心的主界面。三、添加组件进入控制中心界面后，进入“组件管理添加组件”，如图3-3：图3-3然后添加网络引擎，名称：“探测引擎”，类型：“网络引擎”，IP地址：“192.168.1.200”（以此IP为例），其他参数不改动，确认后添加完成。如图3-4：图3-4再添加显示中心，名称：“显示中心”，类型：“显示中心”，IP地址：“192.168.1.100”（以此IP为例），其他参数不改动，确认后添加完成。如图3-5：图3-5四、启动探测引擎和显示中心添加完组件后，启动探测引擎和显示中心； 选中探测引擎，点击

11、右键，选中“连接”即可。一般情况下，系统自动连接所有组件。视图如图3-6：图3-6然后再启动显示中心，从菜单“视图选择综合信息显示”，打开了显示中心，过程如图3-7：图3-7五、配置通讯参数打开显示中心后，需要修改其连接设置。在综合信息显示界面中，点击菜单“系统设置”后，出现设置界面，将控制中心IP地址修改为：192.168.1.100，其余参数不变。如图3-8：图3-8最后确认所有组件连接成功，状态视图如图3-9：图3-9六、分级管理1、本级设置本级设置主要在各直属关上作为子控进行设置。从主菜单的“分级管理-本级设置”，进行，如下： 设置参数如下图：根据原有要求，需要将所有参数选中。2、下级

12、设置： 下级设置只需要在全国信息中心的总控进行设置，添加子控组件后，选中子控，从“分级管理下级设置”进入，如下图所示：事件级别选择：高级事件，中级事件同步安全类型：全选中选中“同步子控日志”这样，上级控制中心会收到下级控制中心上报的高级、中级事件七、导入授权文件/录入授权序列号如需要导入授权，应首先取得以“txt”文件存在的授权码文件。回到管理控制中心主界面，右健选择“引擎”，选择“授权文件下发”，如下图：找到授权文件路径，选中然后选择打开，完成授权工作。在管理控制中心主界面右健选择“引擎”“属性”，打开引擎属性界面，然后选择“授权状态”可以查看，具体的授权情况。八、升级事件库1、升级选项设置

13、：更新升级入侵检测自动更新，选中“是否将升级后的策略应用到引擎”；图3-112、更新升级更新设置选中“高级”、“中级”确定。图3-123、在“更新升级入侵检测手工更新”菜单中进入手工更新界面。然后点击“浏览”制定升级文件后，点击“升级”。就自动进入事件库升级过程，同时显示所更新的事件名称和数量。最后弹出一个txt文本，描述了升级的历史记录。保存后关闭即可。在点击“退出”退出升级界面。过程如图3-13：三恶 - 图3-13九、编辑并选择策略下发到探测引擎从“策略任务入侵检测策略编辑”中进入“选择策略”的界面，选中“策略集操作”后弹出了“集合操作”的窗口。在“主策略集”和“从策略集”中将热点事件集

14、和增量升级事件集选中，操作符选中“并”。过程如图3-14：图3-14点击确定后输入该策略的新名称此处为“测试策略”，就进入了新策略的编辑界面中，点击编辑界面左上角的保存图标后关闭主界面。过程如图3-15：图3-15回到控制中心主界面中，选中探测引擎，点击右键。选中“策略下发”后，探出了新的界面，在该界面中选择需要下发的策略，此处选择“测试策略”。如图3-16：图3-16点击确认后稍等一会，当策略下发成功后，策略名称和下发事件会显示在主界面中探测引擎所在行的策略任务列下。策略下发成功如图3-17：图3-17第四章 数据库维护一 、自动维护从主菜单“日志管理入侵检测日志维护”进入数据库维护界面，如

15、图4-1：图4-1首先需要在D盘下面创建“idsdb_bak”文件夹用于存放自动备份数据库文件。此文件夹也用于存放平时手工备份的数据库文件。然后点击“自动维护”，选中“启用数据库自动维护”前面的复选框，备份事件设置中：频率选中“每周”，次数“1”，日期：“星期六”，时间：“00:00:00”在自动备份设置中：备份库类型选中“SQL Server”,服务器填入：“(local)”,用户名：“sa”,密码：“此处填入sa的密码”，存放路径：“d:idsdb_bak”；选中“自动收缩日志”最后点击：“保存”。保存成功。该过程如图4-2所示。图4-2最后点击界面上方的“退出”以退出数据库维护界面。二、

16、手动维护从主菜单“日志管理入侵检测日志维护”进入数据库维护界面，如图4-3；图4-3 然后点击“手动备份”，在手动维护参数设置中，维护操作选择：“备份”，时间范围根据实际需要的时间范围选择；在手动备份设置中，备份库类型选择：“SQL Server”，服务器填入：“(local)”,用户名：“sa”,密码：“此处输入sa的密码”，库源操作选择：“删除源”，目标数据库名,我们填入：“idsdb_bak_man”以区别自动备份的数据库名，存放路径：“d:idsdb_bak”，目标库操作选中：“追加”。 然后选中“自动收缩日志”，点击“执行”后进入手动备份过程，同时操作记录下会显示操作记录的过程，备份

17、完成后提示“备份成功”。点击“确定”。该过程如图4-4所示：图4-4最后点击界面上方的“退出”以退出数据库维护界面。三、日志导入从主菜单“日志管理入侵检测日志维护”进入数据库维护界面；如图4-5图4-5 然后点击“导入数据”，在导入数据源的配置中，数据源类型选择：“SQL Server”，服务器输入：“(local)”，用户名输入：“sa”，密码输入：“此处输入sa的密码”，数据库名称可以是自动备份的：“idsdb_bak”,也可以是手动备份的：“idsdb_bak_man”；在目的数据库参数中，系统默认参数，不做修改。选中“自动收缩日志”，然后点击“导入”，进入导入的过程中，操作记录上会有显

18、示，最后提示“数据导入成功”，点击确定。该过程如图4-6：图4-6最后点击界面上方的“退出”以退出数据库维护界面。附件一、微软SQLserver系统安装步骤在指定IP服务器上安装SQLserver数据库平台SQL2000；安装主要过程如下（以SQL2000为例）：选择SQL2000安装程序的“安装数据库服务器”部分，进入SQL2000安装界面，如图5-1。图5-1选择“安装SQL Server 2000组件”，到图5-2所示界面。图5-2如图5-2所示，选择“安装数据库服务器”，进入“安装向导”，见图5-3。图5-3如图5-3所示，选择下一步，到图5-4所示界面。图5-4如图5-4所示，选择“

19、本地计算机”，然后“下一步”，到图5-5所示界面。图5-5如图5-5所示，选择“创建新的SQL Server实例，或安装客户端工具”，然后“下一步”，到图5-6所示界面。图5-6图5-7如图5-6所示，一般“姓名”、“公司”设置为默认值即可，然后“下一步”，到图5-7所示界面,阅读许可协议后，根据要求选择“是”或“否”，选择“否”则退出安装，这里选择“是”，继续安装，到图5-8所示界面。图5-8如图5-8所示，选择“创建新的SQL Server实例，或安装客户端工具”，然后“下一步”，到图5-9所示界面。图5-9如图5-9所示，选择“典型”安装，然后“下一步”，到图5-10所示界面。图5-10如图5-10所示，选择“对每个服务使用同一帐户。启动SQL Server服务”，然后选择“使用本地系统账户”，接着“下一步”，到图5-11所示界面。图5-11如图5-11所示，选择“混合模式”，输入密码后，接着“下一步”，到图5-12所示界面。图