天融信入侵检测系统安装手册

《天融信入侵检测系统安装手册》由会员分享，可在线阅读，更多相关《天融信入侵检测系统安装手册（16页珍藏版）》请在金锄头文库上搜索。

1、 天融信入侵检测系统天融信入侵检测系统 安装安装手册手册 天融信 TOPSEC 北京市海淀区上地东路 1 号华控大厦 100085 电话：+8610-82776666 传真：+8610-82776677 服务热线：+8610-8008105119 http:/ 版权声明版权声明 本手册中的所有内容及格式的版权属于北京天融信公司 （以下简 称天融信）所有，未经天融信许可，任何人不得仿制、拷贝、转译或 任意引用。 版权所有 不得翻印 2013 天融信公司 商标声明商标声明 本手册中所谈及的产品名称仅做识别之用。 手册中涉及的其他公 司的注册商标或是版权属各商标注册人所有，恕不逐一列明。 TOPSE

2、C 天融信公司 信息反馈信息反馈 http:/ 服务热线：8008105119 i 1 前言前言 1 1.1 文档目的 . 1 1.2 读者对象 . 1 1.3 约定 . 1 1.4 相关文档 . 2 1.5 技术服务体系 . 2 2 安装天融信入侵检测系统安装天融信入侵检测系统 3 2.1 系统组成与规格 . 3 2.1.1 系统组成 3 2.1.2 系统规格 3 2.2 系统安装 . 3 2.2.1 硬件设备安装 3 2.2.2 检查设备工作状态 4 2.3 登录天融信入侵检测系统 . 4 2.3.1 缺省出厂配置 5 2.3.2 通过CONSOLE口登录 6 2.3.3 设置其他管理方式

3、 8 2.3.4 管理主机的相关设置 10 2.3.5 通过浏览器登录 10 2.4 恢复出厂配置 . 11 3 典型应用典型应用 12 目目 录录 天融信入侵检测系统安装手册 服务热线：8008105119 1 1 前言前言 本安装手册主要介绍天融信入侵检测系统（即 TopSentry）的安装和使用。通过阅读 本文档，用户可以了解如何正确地在网络中安装天融信入侵检测系统，并进行简单配置。 本章内容主要包括： 文档目的 读者对象 约定 相关文档 技术服务体系 1.1 文档目的文档目的 本文档主要介绍如何安装天融信入侵检测系统及其相关组件， 包括设备安装和扩展模 块安装等。 1.2 读者对象读者

4、对象 本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读， 通过阅读本文 档，他们可以独自完成以下一些工作： 初次使用和安装天融信入侵检测系统。 管理天融信入侵检测系统。 1.3 约定约定 本文档遵循以下约定： 1）命令语法描述采用以下约定， 尖括号（ 特殊对象特殊对象 用户用户。 为了叙述方便， 本文档采用了大量网络拓扑图， 图中的图标用于指明天融信和通用的 网络设备、外设和其他设备，以下图标注释说明了这些图标代表什么设备： 文档中出现的提示、警告、说明、示例等，是关于用户在安装和配置天融信入侵检测 系统过程中需要特别注意的部分， 请用户在明确可能的操作结果后， 再进行相关配置操作

5、。 文档中出现的接口标识 eth1、eth2 等，是为了表示方便，不一定与设备接口名称相对 应。 1.4 相关文档相关文档 天融信入侵检测系统产品说明 天融信入侵检测系统用户手册 1.5 技术技术服务体系服务体系 天融信公司对于自身所有安全产品提供远程产品咨询服务， 广大用户和合作伙伴可以 通过多种方式获取在线文档、疑难解答等全方位的技术支持。 公司主页 http:/ 在线技术资料 http:/ 安全解决方案 http:/ 技术支持中心 http:/ 天融信全国安全服务热线 800-810-5119 天融信入侵检测系统安装手册 服务热线：8008105119 3 2 安装安装天融信入侵检测系统

6、天融信入侵检测系统 本章介绍了安装入侵检测系统前的准备工作， 以及入侵检测系统的物理安装过程， 同 时介绍了几种登录入侵检测系统的方式， 以便管理员对入侵检测系统进行管理。 包括如下 主要内容： 天融信入侵检测系统的组成与规格 天融信入侵检测系统的安装 登录并管理天融信入侵检测系统 天融信入侵检测系统的出厂配置 2.1 系统组成与规格系统组成与规格 2.1.1 系统组成系统组成 天融信入侵检测设备（硬件） 其他配套软件：具体请参见随机光盘的 README.TXT 描述。 2.1.2 系统规格系统规格 天融信入侵检测系统不同型号产品的电源参数、环境规范、物理规格、执行标准和安 全规范及标准的内容

7、可能会有所不同，具体请参见天融信入侵检测系统产品说明。 2.2 系统安装系统安装 2.2.1 硬件设备安装硬件设备安装 一般遵循如下步骤安装硬件设备： 1）支架安装 机架式天融信入侵检测设备采用标准的 19 英寸机箱，可以安装固定在标准机柜中， 随机附件中有一对上架支架（侧耳），将其固定在天融信入侵检测设备上。 2）将天融信入侵检测设备置于机柜托架上 天融信入侵检测设备要求放在机柜的托架上， 并适当调节机柜托架与天融信入侵检测 设备的相对位置，使天融信入侵检测系统的固定支架在垂直方向上受力较小。 3）本地一台管理主机通过 CONSOLE 线缆与天融信入侵检测设备的 CONSOLE 口连 接，供

8、超级管理员进行初步配置。 天融信入侵检测系统安装手册 服务热线：8008105119 4 4）把天融信入侵检测设备的网络接口通过直通网络线与对应安全区域中的网络设备 相连接。 5）通过电源线连接天融信入侵检测设备和电源。 6）启动天融信入侵检测设备电源（电源开关位于设备后端）。 提示提示 请注意随机配件中直通线（Passthrough）和交叉线（Crossover）的使用方法：交叉线 用于通信主机间的直接连接，如天融信入侵检测设备与主机间的直接连接；直通线用 于天融信入侵检测设备和网络设备的连接，例如天融信入侵检测设备与交换机等的连 接。 用户可以根据需要安装扩展卡，关于扩展卡的安装请参考TO

9、PSEC 扩展模块安装手 册 。 对于有扩展模块的 IDS 设备，设备面板上扩展卡位的标识名称为 Eth1、Eth2、Eth3 等。 扩展模块上的接口则以 0、1、2、3的形式标识。安装模块后，TOS 系统识别各接 口的名称为：扩展卡位标识+扩展模块的接口标识，例如 Eth1 卡位的接口 2 会被识别 为 Eth12，其他接口以此类推。 2.2.2 检查检查设备设备工作状态工作状态 天融信入侵检测系统的硬件设备安装完成之后， 就可以通电使用。 在天融信入侵检测 系统的工作过程中， 用户可以根据天融信入侵检测系统面板上的指示灯来判断天融信入侵 检测系统的工作状态，具体请见下表。 指示灯名称 指示

10、灯状态描述 工作灯（Run） 当天融信入侵检测系统进入工作状态时，工作灯闪烁。 主从灯（M/S） 不启用双机热备时，主从灯处于熄灭状态；在启动双机热备时，主从灯亮的时 候，代表这台设备处于工作模式；反之，如果主从灯处于熄灭状态，则该天融 信入侵检测系统工作在备份模式。 说明： 部分型号的入侵检测系统设备没有“主从灯”。 管理灯 （MGMT） 当网络管理员登录天融信入侵检测系统时，管理灯点亮。 日志灯（Log） 当有日志记录动作发生时，且前后两次日志记录发生的时间间隔超过 1 秒钟 时，日志灯会连续闪烁 4 次。 2.3 登录登录天融信入侵检测系统天融信入侵检测系统 网络管理员可以通过多种方式管

11、理天融信入侵检测系统。 管理方式包括： 本地管理，即通过 CONSOLE 口登录天融信入侵检测系统进行管理； 远程管理，使用浏览器、SSH、TELNET 等多种方式登录天融信入侵检测系统进 行配置管理。 天融信入侵检测系统安装手册 服务热线：8008105119 5 第一次使用天融信入侵检测系统，管理员可以通过 CONSOLE 口以命令行方式、通 过浏览器以 WEBUI 方式进行配置和管理。在下面几节中，将会介绍如何通过 CONSOLE 口登录到天融信入侵检测系统并配置其他几种管理方式。其中，WEBUI 管理方式是最方 便、也是最常用到的管理方式。 2.3.1 缺省出厂配置缺省出厂配置 天融信

12、入侵检测系统在出厂时使用了以下默认配置： 管理用户 管理员用户名 superman 管理员密码 talent 系统参数 设备名称 TopsecOS 最大登录失败次数 5 最大并发管理数 5 同一用户最大并发管理数 5 WEBUI 超时时间 180 秒 物理接口 MGMT 口 eth0, IP：192.168. 1.254/24 HA 口 eth1 直连口 eth2/10, eth3/11 服 务 访 问 控制 WEBUI 管理（通过浏览器管理入侵 检测系统） 允许来自 MGMT 口的服务请求 GUI 管理（通过 TOPSEC 管理中心） 允许来自 MGMT 口上的服务请求 SSH（通过 SSH

13、 远程登录管理） 允许来自 MGMT 口上的服务请求 升级（通过 TOPSEC 管理中心对天 融信入侵检测系统进行升级） 允许来自 MGMT 口上的服务请求 PING （PING 到天融信入侵检测系统 的接口 IP 地址或 VLAN 虚接口的 IP 地址） 允许来自 MGMT 口上的服务请求 其他服务 禁止 地址资源 地址段名称 any 地址段范围 0.0.0.0 - 255.255.255.255 区域资源 区域名称 area_eth0 绑定属性 eth0，对应 MGMT 接口。 权限 允许 日志 日志服务器 IP 地址 IP：192.168. 1.253 日志服务器开放的日志服务端口 UD

14、P 的 514 端口 缺 省 系 统 规则库 攻击检测规则库 有，含 1 年规则库升级服务。 病毒检测规则库 无。 应用识别规则库 有。 URL 过滤规则库 无。 策略 入侵检测策略 源：any；目的：any；攻击检测规则： 精选规则-默认动作；作用：设备只要通 电后，接入直连口 eth2/10 和 eth3/11 即 可进行入侵检测，无须其他配置。 天融信入侵检测系统安装手册 服务热线：8008105119 6 2.3.2 通过通过 CONSOLE 口登录口登录 通过 CONSOLE 口登录到天融信入侵检测系统，可以使用命令行方式对天融信入侵 检测系统进行一些基本的设置， 用户在初次使用天融

15、信入侵检测系统时， 通常都会登录到 天融信入侵检测系统更改入侵检测系统的出厂配置（如接口 IP 地址等），以便在不改变 现有网络结构的情况下将天融信入侵检测系统接入网络中。这里将详细介绍如何通过 CONSOLE 口连接到天融信入侵检测系统。 1）将 CONSOLE 口控制线的 RJ45 接口端和天融信入侵检测设备的 CONSOLE 口相 连接，DB-9 接口端和计算机的串口（这里假设使用 COM1）相连接。（部分产品无 RJ45 接口形式的 Console 口，故需要使用 DB9-DB9 Console 控制线）。 2）在计算机中建立天融信入侵检测系统和管理主机的连接。 选择 开始开始 程序程序 附件附件 通讯通讯 超级终端超级终端，系统提示输入新建连接的名称。如 下图所示。 用户可以输入任何名称，这里假设名称为 topsec，输