入侵检测－金锄头文库

资源描述

《入侵检测》由会员分享，可在线阅读，更多相关《入侵检测（76页珍藏版）》请在金锄头文库上搜索。

1、入侵检测 (eTrust Intrusion Detection)入门指南第第 1 章章入侵检测入侵检测(eTrust Intrusion Detection)简介简介1.1 当今的需求当今的需求坚固的网络安全性坚固的网络安全性网络已经处在当今组织的中心位置，它传输关键性通常是高敏感度的信息，同时将用户连接到关键资源。但是，随着网络规模和复杂性的增加，防止它们受到威胁（例如低级协议攻击和服务器及桌面入侵）变得越来越困难。遍布内部网络的病毒和恶意小程序（applet）也会使网络处于危险境地。通常探测和阻塞针对的是内部服务和桌面以及外部 URL 的非法网络访问。入侵检测 (eTr

2、ust Intrusion Detection) 提供了全面的网络保护功能，其内置主动防御功能可以防止破坏的发生。这种高性能且使用方便的解决方案在单一软件包中提供了最广泛的监视、入侵和攻击探测、非法 URL 探测和阻塞、警告、记录和实时响应。1.2 解决方案解决方案入侵检测入侵检测 (eTrust Intrusion Detection)入侵检测 (eTrust Intrusion Detection) 提供了主动的网络保护，它能够自动探测网络流量中可能涉及潜在入侵、攻击和滥用的模式。例如，入侵检测 (eTrust Intrusion Detection) 可以探测拒绝服务攻击，并且在

3、服务器和服务受到影响之前根据预定义策略采用适当的行为。入侵检测 (eTrust Intrusion Detection) 同时在很大程度上降低了管理和确保网络安全所需的培训级别和时间。通过这些功能，入侵检测 (eTrust Intrusion Detection) 解决了网络总体安全性与策略兼容的大部分难题（例如，它提供有关策略冲突及其出处的详细统计报告）。1.3 独特的功能独特的功能网络访问控制。网络访问控制。入侵检测 (eTrust Intrusion Detection) 使用基本规则定义可以访问特定网络资源的用户，从而确保只对网络资源进行授权访问。高级反病毒引擎。高级反病

4、毒引擎。能够探测包含计算机病毒的网络流量的病毒扫描引擎。它可以防止用户在不知情的情况下下载受病毒感染的文件。从 CA web 站点可以得到最新和更新后的病毒特征码。全面的攻击模式库。全面的攻击模式库。入侵检测 (eTrust Intrusion Detection) 可以自动探测来自网络流量的攻击模式（即使是正在进行中的攻击）。定期更新的攻击模式库可以从 CA web 站点获得能够确保入侵检测 (eTrust Intrusion Detection) 保持最新。包检测技术。包检测技术。入侵检测 (eTrust Intrusion Detection) 在隐蔽模式下工作，攻击者是

5、察觉不到的。因为黑客不知道他们正在被监视，因此通常在未察觉的情况下被捕获。 URL 阻塞。阻塞。管理员可以指定不允许用户访问的 URL，从而防止了非工作性 Web 冲浪。内容扫描。内容扫描。管理员通过入侵检测 (eTrust Intrusion Detection) 可以定义策略对内容进行检查。这可以防止在没有授权的情况下通过电子邮件或 Web 发送敏感数据。网络使用情况记录。网络使用情况记录。入侵检测 (eTrust Intrusion Detection) 允许网络管理员跟踪最终用户、应用程序等的网络使用情况。它有助于改进网络策略规划和提供精确的网络收费。1.4 保护企业网络保护

6、企业网络在将入侵检测 (eTrust Intrusion Detection) 部署到企业中的多个地点后，它的强大功能可以保护整个网络, 包括对远程或中央控制台的企业级事件进行监控和响应。入侵检测 (eTrust Intrusion Detection) 同时包括一个中央事件数据库存储区、补充报告和可分布的 “全貌”内容查看器。入侵检测 (eTrust Intrusion Detection) 提供网络级可靠的分布式实时网络保护。它实现该功能的基础是允许每个分布式入侵检测 (eTrust Intrusion Detection) 完全自主运作，从而避免了对网络可用性或者响应时间的依赖。

7、企业级功能企业级功能集中化监控。集中化监控。网络管理员可以从本地或远程监控运行入侵检测 (eTrust Intrusion Detection) 的一个或多个站，在不同网络段（本地或远程）上安装了受中央站控制的入侵检测 (eTrust Intrusion Detection) 代理后，管理员可以根据收集到的合并信息查看报警和生成报告。远程管理。远程管理。远程用户可以使用 TCP/IP 或者调制解调器连接访问运行入侵检测 (eTrust Intrusion Detection) 的站。在连接后，根据入侵检测 (eTrust Intrusion Detection) 管理员定义的权限, 用

8、户可以查看和监控入侵检测 (eTrust Intrusion Detection)数据、更改规则以及创建报告。入侵记录和分析。入侵记录和分析。入侵检测 (eTrust Intrusion Detection) 为捕获信息和进行分析提供了全面的系统功能。在安装软件并指定归档地点后，用户可以定义在档案中记录会话的规则。然后用户可以通过浏览器过滤、排序和查看归档信息，并创建详细的报告。1.5 与其它与其它 CA 产品协作产品协作CA 的 eTrust 对电子商务的推动在于它提供了方便组织保护其环境的创新技术。这种全面的安全性套件增强了所有电子商务的回报，它的解决方案包括风险评估、攻击探测

9、、损失预防等等。eTrust 解决方案支持主要的工业标准，并充分利用了 Unicenter TNG Framework 中的强大服务。有了 eTrust 后，组织在将安全性解决方案作为单独产品、安全性套件或者完全与 Unicenter TNG 集成上就有了灵活性。在与 Unicenter TNG 协作后，eTrust 解决方案能够通过一致的方式构造、部署和管理安全性，并且将其作为企业管理重要任务的一部分。1.6 欲知详情欲知详情浏览了本入门指南后，您可以参见许多其他资源以获得详细信息。入侵检测 (eTrust Intrusion Detection) CD 包括了有价值的指导性文档，它展示

10、了“网络安全”软件和有关入侵检测 (eTrust Intrusion Detection) 的全面、多功能组件的详细解释。此外，联机帮助还针对您可能遇到的问题提供了逐步信息和问题解答。请访问我们的 web 站点：。如果您需要技术支持，请拨打热线：（010）65612426, （010）65612408。传真：（010）65612410。第第 2 章章安装入侵检测安装入侵检测 (eTrust Intrusion Detection)现在，您就可以准备运行入侵检测 (ETrust Intrusion Detection)了。它代表了最新一代的企业网络保护技术，提供了前所未有的访问控制

11、级别、用户透明度、性能、灵活性、适应性和使用的方便性。您的组织可以在不引入任何故障可能性的情况下实现易于部署的网络保护解决方案。首先简单概述一下入侵检测 (ETrust Intrusion Detection) 如何保护网络，然后开始快速安装和运行。注：本产品必须在注册之后才能使用。下面有具体介绍。注：本产品必须在注册之后才能使用。下面有具体介绍。2.1 基本概念基本概念入侵检测 (eTrust Intrusion Detection)代表了最新一代的企业网络保护技术，它提供前所未有的访问控制级别、用户透明度、性能、灵活性、适应性和使用的方便性。用户可以很容易的实现网络保护解决方案的

12、部署。入侵检测 (eTrust Intrusion Detection) 如何处理网络流量在激活之后，入侵检测 (eTrust Intrusion Detection) 可以侦听通过网络的所有 TCP/IP 流量。入侵检测 (eTrust Intrusion Detection) 能够发现网络上针对特定服务器或者整个网络的攻击。用入侵检测 (eTrust Intrusion Detection) 可以查看与可疑会话有关的所有活动日志、获取有关的统计数据和详细报告，以及通过重新构造会话来完全查看特定用户所做的事情或者进行攻击分析。在遇到问题时，入侵检测 (eTrust Intrusion

13、Detection) 可以实时响应, 如通过电子邮件、传真等通知用户。与防火墙类似，入侵检测 (eTrust Intrusion Detection) 采用了 Computer Associates 的专利技术“unobtrusive monitoring and blocking”来阻塞非法通讯。入侵检测 (eTrust Intrusion Detection) 处理网络流量的方式如下： 1.1. 入侵检测 (eTrust Intrusion Detection) 检查网络上的每个新会话，以确定它是否被定义为排除的服务。 2.2. 如果它是被排除的服务，入侵检测 (eTrust Int

14、rusion Detection) 将忽略该会话。 3.3. 如果它不是被排除的服务，那么会话将包括在统计数据中，然后继续。 4.4. 入侵检测 (eTrust Intrusion Detection) 检查会话是否匹配预定义的规则。 5.5. 如果第一个规则不符合，程序将检查第二个规则，依次类推，直到符合某个规则或者检查完所有规则为止。规则检查的顺序如下：入侵企图探测规则 URL 访问监控和控制规则监控/阻塞/警告规则内容检查规则 6.6. 入侵检测 (eTrust Intrusion Detection) 将根据规则检查每个会话直到会话终止或者出现匹配为止。 7.7. 如果出现匹配

15、，那么就执行为该会话定义的行为，然后忽略匹配规则之后的其它规则。下面的流程图为入侵检测 (eTrust Intrusion Detection) 处理网络流量的过程：2.2 安装安装2.2.1 安装需求安装需求入侵检测 (eTrust Intrusion Detection) 可以方便地安装在任何运行 Windows 95/98、Windows NT 4.0 或 Windows 2000 并配备了连接到局域网的网卡的个人计算机上。安装过程是即插即用的过程, 安装完成后，入侵检测 (eTrust Intrusion Detection) 将立即根据默认规则监控网络流量。软件需求 Windows 95 (OSR 2)、Windows 98、Windows NT 4.0（SP3 以上）或者 Windows 2000。最低硬件需求 200MHz 奔腾 CPU 64MB RAM（建议 128 MB） 200MB 空闲磁盘空间至少一个标准网络适配器。请参见附录 A 中的已知兼容和不兼容 NIC 卡列表。 CD-ROM接收到的数据忽略排除的服务匹配规则操作忽略2.2.2 安装入侵检测安装入侵检测

展开阅读全文