启明星辰入侵检测设备配置文档

1、系统集成室启明星辰入侵检测设备配置说明启明星辰入侵检测设备配置说明 天阗 NT600-TC-BRP 第1章 设备概述与工作流程介绍1.1 设备概述入侵检测设备是一个典型的 窥探设备 。它不跨接多个物理网段 （通常只有 一个监听端口），无须转发任何流量，而只需要在网络上被动的、无声息的收集 它所关心的报文即可。 对收集来的报文， 入侵检测设备提取相应的流量统计特征 值，并利用内置的入侵知识库， 与这些流量特征进行智能分析比较匹配。 根据预 设的阀值， 匹配耦合度较高的报文流量将被认为是进攻， 入侵检测系统将根据相 应的配置进行报警或进行有限度的反击。 不同于防火墙， IDS 入侵检测设备是一 个

2、监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此， 对 IDS 的部署，唯一的要求是： IDS 应当挂接在所有所关注流量都必须流经的链 路上。典型拓扑：系统集成室启明星辰入侵检测设备配置说明1.2 IDS 工作流程介绍入侵检测系统的工作流程大致分为以下几个步骤：1.信息收集 入侵检测的第一步是信息收集，内容包括网络流量的内容、用 户连接活动的状态和行为。2.信号分析 对上述收集到的信息，一般通过三种技术手段进行分析：模式 匹配，统计分析和完整性分析。 其中前两种方法用于实时的入侵检测， 而完整性 分析则用于事后分析。具体的技术形式如下所述：1）.模式匹配，模式匹配就是将收集到

3、的信息与已知的网络入侵和系统误用 模式数据库进行比较，从而发现违背安全策略的行为。2）.统计分析，分析方法首先给信息对象（如用户、连接、文件、目录和设 备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作 失败次数和延时等）。测量属性的平均值将被用来与网络、 系统的行为进行比较， 任何观察值在正常偏差之外时，就认为有入侵发生。3）.完整性分析，完整性分析主要关注某个文件或对象是否被更改，包括文 件和目录的内容及属性， 它在发现被更改的、 被特络伊化的应用程序方面特别有 效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如 MD5 ），能识 别及其微小的变化。系统集成室启

4、明星辰入侵检测设备配置说明第 2 章 启明星辰入侵检测 设备的安装介绍2.1 产品外观从左到右分别是：管理口， USB 口， 1-5 业务口2.2 安装与配置步骤产品安装与部署步骤包括：控制中心安装和引擎安装部署。控制中心需要安 装在一台 PC 上，即需要为 IDS 入侵检测设备配置一台专门的工作站。这里提到 的引擎就是指入侵检测设备。2.2.1 控制中心的安装步骤1）准备一台工作站，安装上 win server 操作系统，可以是 Windows Server 2008 R2 Standard 64 位或者是 Windows Server 2012 R2 standard 64位 ，（现场 测

5、试时， Win7 64 位操作系统不能通过 HTTP方式配置引擎） ；2）SQL server数据库安装：在随机附带的安装光盘中有 SQL server数据 库安装包，具体步骤如下： 双击“ SQL Server 2008 Express.e”xe ，等待一会，进入 SQL Server 安装中心启明星辰入侵检测设备配置说明界面：系统集成室点击“安装”，选择“全新 SQL Server 独立安装或向现有安装添加功能”一项：- 4 -启明星辰入侵检测设备配置说明点击“确定”进入产品密钥界面：系统集成室点击“下一步”按钮 ，进入许可条款界面，勾选“我接受许可条款（ A） ”：- 5 -系统集成室启

6、明星辰入侵检测设备配置说明点击“安装”按钮：选择所要安装的功能以及共享功能目录后，点击“下一步”按钮，进入实例配置界面：启明星辰入侵检测设备配置说明系统集成室选择默认实例后，点击下一步：如有疑问，参考附件中天阗入侵检测与管理系统 V7040配置好账号密码：- 7 -系统集成室启明星辰入侵检测设备配置说明用户安装手册 25-29 业步骤）选择混合模式，并添加管理员，点击下一步：启明星辰入侵检测设备配置说明系统集成室点击下一步，然后选择安装，安装完成后选择关闭即可：系统集成室启明星辰入侵检测设备配置说明需要注意的是：数据库管理软件安装完成后打开程序 Microsoft SQL Server 200

7、8 配置工具 Sql Server 配置管理器 SQL Server Configuration Manager SQLServer 2008网络配置 SQLEXPRES的S协议中的 TCP/IP状态为已启用，如果是禁用状态，请将该状态改为已启用， 并且修改 TCP端口为 8080，然后在 SQL Server2008服务 选择SQL Server （MSSQLSERVER） 右键选择重新启动数据库安装完成并重启服务后查看打开控制面板 性能维护 管理工具 服务， 查看 SQL Server（MSSQLSERV服ER务） ，点击到登陆页面查看登陆身 份是否为本地系统如果不是请调整到本地服务。3）

8、天阗入侵检测与管理系统 V7.0 安装点击运行 “天阗入侵检测与管理系统 .exe”，安装提示点击下一步，选择好安装目录，点击安装即可- 10 -启明星辰入侵检测设备配置说明其中需要配置业务数据导入工具，然后点击导入：系统集成室导入完成后，进行数据库配置和服务端口配置：- 11 -系统集成室启明星辰入侵检测设备配置说明点击确定，弹出 “配置修改成功 ”，等待全部安装完成后，重启计算机2.2.2 引擎安装配置步骤1）将工作站与 IDS入侵检测设备的管理口相连，管理口的默认 IP 地址是：00，用户名密码分别是： adm/venus70，用 http 方式登录到引擎中（现场使

9、用 IE 浏览器无法显示页面内容， 更换成谷歌浏览器之后可以正常显示）2）登录成功之后，选择常用配置 -组件管理 -引擎配置 -点击“新建”按钮，添加引擎：- 12 -系统集成室启明星辰入侵检测设备配置说明3）事件库更新：从官网下载最新的对应型号设备的事件库文件，进行更新4）策略定制和下发：在常用配置- 策略管理- 策略集- 点击“新建”：选择需要的事件进行提交：- 13 -系统集成室启明星辰入侵检测设备配置说明提交完成后，在组件管理 - 组件状态管理 - 选择需要应用到的网络引擎，进 行策略下发和应用。2.2.3 业务配置选择其中一个业务口， 将其接入所要检测的网络中， 一般是接入到交换机中， 布线完成后， 需要在交换机上做镜像口配置， 用于统计监视各端口网络流量。 不 同型号的交换机配置命令不同， 详细信息参考附件中 天阗入侵检测与管理系统 V70