IDS入侵检测安装调试培训

1、IDS安装调试培训教材目录入侵检测系统在网络中的部署联想网御IDS的安装(控制台和探测器)联想网御IDS的策略配置日志数据库的维护规则库升级目录入侵检测系统在网络中的部署联想网御IDS的安装(控制台和探测引擎)联想网御IDS的策略配置日志数据库的维护规则库升级网御入侵检测产品介绍结构 基于C/S模式联想网御新版IDS型号百兆标准型：N120百兆增强性：N820千兆标准型：N3200千兆增强型：N5200入侵检测系统的部署（原则）理解网络拓扑理解需求（哪些信息流需要检测）得出可行的接入点和接入方式能否优化优先1 不改变现有拓扑优先2 Sensor和Console间通信的可靠优先3 避免对冗余流量

2、的分析部署模式共享模式HUBIDS SensorMonitored ServersConsole监听口无IP管理口单独部署部署模式交换模式SwitchIDS SensorMonitored ServersConsole通过端口镜像实现（SPAN / Port Monitor）监听口无IP管理口单独部署部署模式TAP模式SwitchIDS SensorMonitored Servers通过TAP设备ConsoleTAP无IP部署模式隐蔽模式（带外管理）SwitchIDS SensorConsole无IP目录入侵检测系统在网络中的部署联想网御IDS的安装(控制台和探测器)联想网御IDS的策略配置日

3、志数据库的维护规则库升级控制台必须安装在windows2000及以上平台（尽量使用professional) 文件系统尽量使用NTFS格式 安装最新的service pack 关闭不必要的服务 确保账号的安全性产品安装入侵检测系统控制台安装把安装盘放入光驱，自动运行安装程序或手动选择执行“网御IDS 控制台安装”程序setup.exe控制台安装步骤入侵检测系统控制台安装仔细阅读网御IDS使用协议，如果同意请选“是”，不同意则选“否”。控制台安装步骤入侵检测系统控制台安装填写用户注册信息。控制台安装步骤网御IDS 控制台的默认路径为“C:Program FilesLenovo IDS”。假如更改

4、安装路径，则选择“查找”指定安装的路径，按“确认”按钮。再按“下一步”。入侵检测系统控制台安装控制台安装步骤网御IDS 控制台的安装过程需要导入认证证书，用户选择相应目录下的任意一个证书即可。入侵检测系统控制台安装控制台安装步骤网御IDS 控制台的安装过程需要导入认证证书，用户选择相应目录下的Cacert.pem或izpl.pem任意一个证书即可。入侵检测系统控制台安装控制台安装步骤入侵检测系统控制台安装选定证书后，按“下一步”按钮。进入选择服务的程序组名，缺省为网御IDS控制台v3.2.8。控制台安装步骤入侵检测系统控制台安装确认安装事项后，按“下一步”按钮。开始复制文件。控制台安装步骤入侵

5、检测系统控制台安装选择默认保存日志的路径后继续“下一步”。控制台安装步骤入侵检测系统控制台安装安装结束后出现如下“安装结束”画面，按“完成”按钮，结束安装。控制台安装步骤探测引擎设置使用随机所附的串口线，将联想网御IDS探测引擎的串口与一台装有超级终端的个人计算机的串口连接起来。设置超级终端直接连接到串口1，如下图：探测引擎连接设置探测引擎设置设设置超级终端的波特率：38400；数据位：8；奇偶校验：无；停止位：1；流量控制：无，如下图：探测器连接设置探测引擎设置按回车键，建立连接后（出现login: 提示符），输入正确的账号和密码，就能够登陆网御IDS探测引擎，进入网御IDS探测引擎的设置模

6、式。网御IDS探测引擎出厂时，默认的串口管理员账号和密码分别为：lenovo/default，下图为登陆后的主界面探测引擎设置串口登陆后即进入探测引擎配置主菜单探测引擎设置在主菜单内选择2系统管理,进入系统管理界面探测引擎设置在系统管理界面输入1网络配置，进入网络配置界面探测引擎设置在网络配置界面输入1查看&编辑IP配置，进入通讯端口IP地址配置界面探测引擎设置选择1开始并完成通讯端口的IP地址配置控制台设置首先以帐号：lenovo密码：default的帐号口令登陆网御IDS的控制台控制台设置在菜单“资产”内选择引擎，并在客户端资产管理引擎窗口 内选择“添加”控制台设置在添加探测引擎的过程中需

7、要为探测引擎相应的检测策略控制台设置点击此处“确定”，完成探测引擎的添加工作控制台设置点击菜单“引擎”下的“策略”，进入策略编辑界面。联想网御IDS缺省带有5个策略模板，可以通过策略模板派生出相应策略供用户编辑控制台设置双击派生出策略或选择要编辑的策略选择“编辑”，进入策略编辑注意：控制台与探测器之间是C/S模式，通讯是每时都在进行的，当探测引擎在未与控制台连接的状态下长时间单独运行时，会将报警日志缓存在探测引擎的本地硬盘上，当控制台再次连接上探测引擎后，探测引擎会自动将报警日志上传给控制台，由于传送和存储日志会占用很多系统资源，在自动传送日志时，控制台会出现运行缓慢的现象，用户需等待，具体时

8、间视控制台配置和日志大小而定。控制台后台数据库包含网络私密信息，所以，最好让控制台专机专用，不要和其他系统安装在一起。以免信息泄露。尽量只选择并使用一个监听口，这样可以最大发挥产品的性能，多监听口同时工作会降低产品。 目录入侵检测系统在网络中的部署联想网御IDS的安装(控制台和探测器)联想网御IDS的策略配置日志数据库的维护规则库升级控制台策略配置-内网对象进入策略编辑界面编辑用户自定义策略首先需要根据用户实际网络编辑内网对象。控制台策略配置-内网对象进入策略-网络编辑界面添加内网对象，添加相应的内网名称、网络/IP范围、选定“内部IP”选项，只有选定了“内部IP”所添加的内网对象才能生效。注

9、意：内网对象的定义影响部分功能的正常工作。建议用户在部署、使用产品之前，要先定义好内网对象。受内网对象影响的功能有：网络流量统计功能部分扫描攻击检测部分DoS攻击检测控制台策略配置-响应方式点击快捷工具栏上“响应”，进入响应编辑窗口。主界面提供了非联动的响应方式列表。控制台策略配置-响应方式联动类响应方式需添加，选择“添加”按钮后，选择相应类型中的相关响应方式进行配置即可。控制台策略配置-响应方式应用响应策略。在快捷工具栏中选择“事件/策略”下的“策略”下的“添加”，用户可按事件名、源地址、目的地址、风险级别、事件类型、服务、时间等因素组合定制响应的响应方式控制台策略配置-策略下发编辑完策略后

10、，将被编辑的策略拖拽到需要应用的探测引擎，系统会通知用户“是要把策略应用于引擎吗”，选择“是”系统即会自动下并应用这个策略。 目录入侵检测系统在网络中的部署联想网御IDS的安装(控制台和探测器)联想网御IDS的策略配置日志数据库的维护规则库升级日志数据库的维护在快捷工具栏中选择资产-环境设置，在此可配置选择使用ACCESS数据库还是MS SQL SERVER数据库。缺省安装情况下使用ACCESS数据库日志数据库的维护日志备份设置资产-环境设置-备份策略设置，定义按用户需要的日志备份计划任务，定期执行数据的备份工作。日志数据库的维护日志同步在快捷菜单日志-日志同步，进入日志同步窗口，日志同步功能是提供手动的日志同步功能包括入侵日志和流量日志两部分日志数据库的维护日志删除在快捷菜单日志-日志备份，进入日志备份/恢复窗口，日志备份/恢复提供了对日志的手动备份和恢复功能，日志数据库的维护日志压缩在