启明星辰入侵检测设备配置说明 系统集成室- 1 -启明星辰入侵检测设备配置说明启明星辰入侵检测设备配置说明天阗天阗 NT600-TC-BRPNT600-TC-BRP第 1 章 设备概述与工作流程介绍1.1 设备概述设备概述入侵检测设备是一个典型的“窥探设备“它不跨接多个物理网段(通常只有一个监听端口) ,无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可对收集来的报文,入侵检测设备提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击不同于防火墙,IDS 入侵检测设备是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作因此,对 IDS 的部署,唯一的要求是:IDS 应当挂接在所有所关注流量都必须流经的链路上典型拓扑:启明星辰入侵检测设备配置说明 系统集成室- 2 -1.2 IDS 工作流程介绍工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤:1.信息收集 入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。
2.信号分析 对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析具体的技术形式如下所述:1).模式匹配,模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为2).统计分析,分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等) 测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生3).完整性分析,完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效完整性分析利用强有力的加密机制,称为消息摘要函数(例如 MD5) ,能识别及其微小的变化启明星辰入侵检测设备配置说明 系统集成室- 3 -第 2 章 启明星辰入侵检测启明星辰入侵检测设备的安装介绍2.1 产品外观产品外观从左到右分别是:管理口,USB 口,1-5 业务口2.2 安装与配置步骤安装与配置步骤产品安装与部署步骤包括:控制中心安装和引擎安装部署。
控制中心需要安装在一台 PC 上,即需要为 IDS 入侵检测设备配置一台专门的工作站这里提到的引擎就是指入侵检测设备2.2.12.2.1 控制中心的安装步骤控制中心的安装步骤1) 准备一台工作站,安装上 win server 操作系统,可以是 Windows Server 2008 R2 Standard 64 位或者是 Windows Server 2012 R2 standard 64 位,(现场测试时,Win7 64 位操作系统不能通过 HTTP 方式配置引擎) ;2)SQL server 数据库安装:在随机附带的安装光盘中有 SQL server 数据库安装包,具体步骤如下:双击“SQL Server 2008 Express.exe” ,等待一会,进入 SQL Server 安装中启明星辰入侵检测设备配置说明 系统集成室- 4 -心界面:点击“安装” ,选择“全新 SQL Server 独立安装或向现有安装添加功能”一项:启明星辰入侵检测设备配置说明 系统集成室- 5 -点击“确定”进入产品密钥界面:点击“下一步”按钮 ,进入许可条款界面,勾选“我接受许可条款(A) ”:启明星辰入侵检测设备配置说明 系统集成室- 6 -点击“安装”按钮:选择所要安装的功能以及共享功能目录后,点击“下一步”按钮,进入实例配置界面:启明星辰入侵检测设备配置说明 系统集成室- 7 -选择默认实例后,点击下一步:配置好账号密码: (如有疑问,参考附件中《天阗入侵检测与管理系统 V7040启明星辰入侵检测设备配置说明 系统集成室- 8 -用户安装手册》25-29 业步骤)选择混合模式,并添加管理员,点击下一步:启明星辰入侵检测设备配置说明 系统集成室- 9 -点击下一步,然后选择安装,安装完成后选择关闭即可:启明星辰入侵检测设备配置说明 系统集成室- 10 -需要注意的是:数据库管理软件安装完成后打开程序 Microsoft SQL Server 2008 —> 配置工具 —> Sql Server 配置管理器 —> SQL Server Configuration Manager —> SQL Server 2008 网络配置—> SQLEXPRESS 的协议中的 TCP/IP 状态为已启用,如果是禁用状态,请将该状态改为已启用,并且修改 TCP 端口为 8080,然后在 SQL Server 2008 服务—> 选择 SQL Server (MSSQLSERVER) —> 右键选择重新启动数据库安装完成并重启服务后查看打开控制面板 —> 性能维护 —> 管理工具 —> 服务, 查看 SQL Server(MSSQLSERVER)服务,点击到登陆页面查看登陆身份是否为本地系统如果不是请调整到本地服务。
3)天阗入侵检测与管理系统 V7.0 安装点击运行“天阗入侵检测与管理系统.exe”,安装提示点击下一步,选择好安装目录,点击安装即可其中需要配置业务数据导入工具,然后点击导入:启明星辰入侵检测设备配置说明 系统集成室- 11 -导入完成后,进行数据库配置和服务端口配置:启明星辰入侵检测设备配置说明 系统集成室- 12 -点击确定,弹出“配置修改成功”,等待全部安装完成后,重启计算机2.2.22.2.2 引擎安装配置步骤引擎安装配置步骤1)将工作站与 IDS 入侵检测设备的管理口相连,管理口的默认 IP 地址是:192.168.0.200,用户名密码分别是:adm/venus70,用 http 方式登录到引擎中现场使用 IE 浏览器无法显示页面内容,更换成谷歌浏览器之后可以正常显示)2)登录成功之后,选择常用配置 ->组件管理 ->引擎配置 ->点击“新建”按钮,添加引擎:启明星辰入侵检测设备配置说明 系统集成室- 13 -3)事件库更新:从官网下载最新的对应型号设备的事件库文件,进行更新。
4)策略定制和下发:在常用配置 -> 策略管理 -> 策略集 -> 点击“新建”:选择需要的事件进行提交:启明星辰入侵检测设备配置说明 系统集成室- 14 -提交完成后,在组件管理 -> 组件状态管理 -> 选择需要应用到的网络引擎,进行策略下发和应用2.2.32.2.3 业务配置业务配置选择其中一个业务口,将其接入所要检测的网络中,一般是接入到交换机中,布线完成后,需要在交换机上做镜像口配置,用于统计监视各端口网络流量不同型号的交换机配置命令不同,详细信息参考附件中《天阗入侵检测与管理系统 V7040 用户安装手册》的第 86 页至此,IDS 入侵检测设备部署完成,可以在控制中心上通过 HTTP 的方式登录到引擎中查看统计信息 注:由于受到设备授权方面的影响,默认情况下只能使用其中一个业务口(具体哪一个可自行配置)进行审计,如需使用多个业务口,则需要进行相应的授权。