联想网御入侵检测系统 安装调试教材

1. 联想网御入侵检测系统安装调试教材 于通河 2006年7月8日 ——业务运作部 产品运作处

2. 目录 联想网御IDS产品简介 联想网御IDS部署原则 联想网御IDS探测引擎部署 联想网御IDS控制台安装 联想网御IDS策略编辑及应用 联想网御IDS数据库维护

3. 联想网御IDS产品简介 • 结构 • 联想网御IDS采用C/S架构，包括探测引擎（硬件）和控制台（软件）两部分 • 型号 • 百兆 千兆 • N120 N3200 • N820 N5200 • 版本 • V3.2.8.0

4. 目录 联想网御IDS产品简介 联想网御IDS部署原则 联想网御IDS探测引擎部署 联想网御IDS控制台安装 联想网御IDS策略编辑及应用 联想网御IDS数据库维护

5. 联想网御IDS部署原则 • 理解网络拓扑 • 理解需求（哪些信息流需要检测，数据来源是那些网段） • 得出可行的接入点和接入方式 • 能否优化 • 优先1 不改变现有拓扑 • 优先2 Sensor和Console间通信的可靠 • 优先3 避免对冗余流量的分析

6. 目录 联想网御IDS产品简介 联想网御IDS部署原则 联想网御IDS探测引擎部署 联想网御IDS控制台安装 联想网御IDS策略编辑及应用 联想网御IDS数据库维护

7. 部署模式 共享环境部署模式 交换环境部署模式 TAP分流环境部署模式 隐蔽部署模式（带外管理） 串口管理 串口登陆 引擎配置 联想网御IDS探测引擎部署

8. 监听口无IP 管理口单独部署 Console HUB IDS Sensor Monitored Servers 联想网御IDS探测引擎部署——部署模式 • 共享环境部署模式

9. 联想网御IDS探测引擎部署——部署模式 • 交换环境部署模式 监听口无IP 管理口单独部署 Console Switch IDS Sensor 通过端口镜像实现 （SPAN / Port Monitor） Monitored Servers

10. Console 联想网御IDS探测引擎部署——部署模式 • TAP分流环境部署模式 监听口无IP 管理口单独部署 TAP 通过TAP设备 IDS Sensor Switch Monitored Servers

11. 监听口无IP 管理口单独部署 Switch IDS Sensor Console Monitored Servers 联想网御IDS探测引擎部署——部署模式 • 隐蔽部署模式（带外管理）

12. 联想网御IDS探测引擎部署——串口管理 • 串口登陆——连接设置 • 使用随机所附的串口线，将联想网御IDS探测引擎的串口与一台装有超级终端的个人计算机的串口连接起来。设置超级终端直接连接到对应串口。

13. 联想网御IDS探测引擎部署——串口管理 • 串口登陆——连接设置 • 设置超级终端的波特率：38400；数据位：8；奇偶校验：无；停止位：1；流量控制：无。

14. 联想网御IDS探测引擎部署——串口管理 • 串口登陆——帐号口令 • 超级终端连接设置完成，出现登陆画面，联想网御IDS的串口初始帐号和密码是：lenovo/default。

15. 联想网御IDS探测引擎部署——引擎配置 • 引擎配置——修改通讯口IP • 在串口主菜单下选择“2 系统管理”后选择“1 网络配置”；

16. 联想网御IDS探测引擎部署——引擎配置 • 引擎配置——修改通讯口IP • 在“网络配置”界面中选择“1 查看&编辑IP地址”；

17. 通讯 通讯 通讯 联想网御IDS探测引擎部署——引擎配置 • 引擎配置——修改通讯口IP • 当提示“是否进行IP配置？（0-否/1-是）”时选择1，编辑通讯口的IP地址。

18. 目录 联想网御IDS产品简介 联想网御IDS部署原则 联想网御IDS探测引擎部署 联想网御IDS控制台安装 联想网御IDS策略编辑及应用 联想网御IDS数据库维护

19. 联想网御IDS控制台安装——注意事项 • 注意事项 • 控制台必须安装在windows2000及以上平台 • 文件系统尽量使用NTFS格式 • 安装最新的service pack • 关闭不必要的服务 • 确保账号的安全性 • 最好专机专用

20. 联想网御IDS控制台安装——安装步骤 • 安装步骤 • 将联想网御IDS随机光盘放入光驱，运行联想网御IDS控制台安装程序：Setup.exe

21. 联想网御IDS控制台安装——安装步骤 • 安装步骤 • 按照安装向导继续安装，当进入安装路径选择时，用户根据需要将联想网御IDS的控制台安装到指定路径，或安装到出厂缺省的安装路径：c:\program files\lenovo\ids

22. 联想网御IDS控制台安装——安装步骤 • 安装步骤 • 按照安装向导继续安装，当进入“选择证书”界面时，用户选择随机光盘内“izpl.pem”或“cacert.pem”两个证书的任意一个即可

23. 联想网御IDS控制台安装——安装步骤 • 安装步骤 • 按照安装向导继续安装，当进入“日志文件夹”选择界面时，用户根据需要选择日志存放路径（此路径为缺省安装的ACCESS数据库的安装路径，如使用SQL Server数据库，需单独安装），缺省的日志存放路径为：C:\program files\lenovo\ids\manager\log

24. 联想网御IDS控制台安装——安装步骤 • 安装步骤 • 按照安装向导继续安装，点击“完成”按钮完成联想网御IDS控制台的安装。

25. 目录 联想网御IDS产品简介 联想网御IDS部署原则 联想网御IDS探测引擎部署 联想网御IDS控制台安装 联想网御IDS策略编辑及应用 联想网御IDS数据库维护

26. 联想网御IDS策略编辑及应用——添加引擎 • 添加引擎 • 选择“开始菜单”中程序组的“网御IDS控制台”或双击桌面上的快捷方式，运行网御IDS控制台软件。

27. 联想网御IDS策略编辑及应用——添加引擎 • 添加引擎 • 进入“登陆”界面后，输入管理员帐号和密码，缺省的管理员登陆帐号和密码为：lenovo /default。

28. 联想网御IDS策略编辑及应用——添加引擎 • 添加引擎 • 进入联想网御IDS控制台主界面后，选择“资产”菜单中的“引擎”选项，进入“客户资产管理——引擎”界面，点击“添加”按钮，开始添加引擎。

29. 联想网御IDS策略编辑及应用——添加引擎 • 添加引擎 • 添加引擎名称、选择引擎类型（添加探测引擎需选择“LenovoIDS”、添加下级管理中心需选择“subAdmin”）、选择引擎组、填写引擎通讯端口IP，选择检测策略（点击策略后的[…]按钮）。

30. 联想网御IDS策略编辑及应用——添加引擎 • 添加引擎 • 在“策略项属性”界面中点击“刷新引擎”按钮，自动刷新出探测引擎上的探头，选择探头，点击想应用的策略后再点击“应用策略”按钮，或将该策略拖拽到探头。点击“确定”按钮。

31. 联想网御IDS策略编辑及应用——添加引擎 • 添加引擎 • 如果需要查看流量统计报表请选中“流量统计”的“√”，点击中间的“确定”按钮，完成探测引擎的添加。

32. 联想网御IDS策略编辑及应用——添加引擎 • 添加引擎 • 选中刚添加的引擎，先选择“客户资产管理——引擎”界面中的“同步”按钮下的“下发策略”，待策略下发完成后再选择“应用策略”, 初步完成引擎的添加和策略的应用。

33. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑 • 选择“引擎”菜单中的“策略”选项，打开策略编辑器。点中需编辑策略模板，选择“派生”按钮，派生出相应策略。点中派生出来的策略选择“编辑”按钮或双击派生出来的策略，开始编辑该策略。

34. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——内网对象添加 • 在“策略编辑器”界面中点击工具条上的“网络”按钮，进入“编辑网络组”窗口。

35. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——内网对象添加 • 在“编辑网络组”界面中有两个“添加”按钮，其中上面的“添加”按钮是添加网络组；下面的“添加”按钮是对网络组添加具体的网络对象。

36. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——内网对象添加 • 在“编辑网络组”界面中点击下面的“添加”按钮，进入“网络对象属性”界面。输入新的网络对象名称、取消“所有类型”前面的“√”选项，网络对象可以按照IP、网络或IP范围添加，只有选中了“内部IP”前面的“√”，该网络对象才能被选择为内网对象。 注：内网对象会影响流量统计、部分扫描和DoS攻击的检测，请准确定义内部网络对象。

37. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——参数设置 • 在“策略编辑器”界面中，点击“参数”按钮，进入“参数设置”界面。其中包括网络流量统计、响应、可疑网络活动、会话处理器和协议处理器几部分参数。

38. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——参数设置 • 在 “参数设置”界面中，网络流量统计选项组涉及的内容包括一些流量统计方面的设置，缺省配置是“否”即不做相关统计，如用户需要可选择“是”。具体参数说明可参见用户手册。 注：用户要做流量统计，除了此处参数设置为“是”以外，还需要在添加引擎时选择“流量统计”。

39. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——参数设置 • 在 “参数设置”界面中，响应选项组涉及的内容包括邮件报警和手机短信报警的一些参数设置。以邮件响应为例，只有此处设置了相关参数，再添加邮件响应方式才能实现对入侵事件的邮件报警。

40. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——参数设置 • 在 “参数设置”界面中，其余的三个选项组涉及的内容包括启动高级协议识别、会话生成时间、会话维持时间等一些参数的设置，具体内容可参见用户手册中的相关内容。

41. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——响应方式 • 在“策略编辑器”界面中，选择“事件/策略”项下的“策略”项，在“策略”窗口下点击“添加”按钮，开始添加新的响应方式，

42. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——响应方式 • 在“策略属性”界面中，有许多参数可以设置，用户可针对事件、服务、协议、地址、时间、风险级别等多种条件设置相应的响应方式

43. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——响应方式 • 在“策略属性”界面中，点击“响应”后面的“[…]”按钮，选择相应的响应方式后，点击“确定”按钮。

44. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——响应方式 • 添加完相应响应方式后，点击“菜单”栏上的“全部保存”后，下发并应用给对应的探测引擎（下发的方式为将编辑好的策略拖拽到相应引擎上），系统会自动提醒用户是否下发并应用新策略。

45. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——响应方式 • 针对防火墙联动、路由器联动等复杂响应方式，需在“策略编辑器”界面中点击“响应”按钮，进入“响应”界面。

46. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——响应方式 • 在“响应”界面中点击“添加”按钮，进入“响应属性”界面，点击“响应方式”后面的[…]按钮，进入“响应类型”界面。选择一种响应类型。（此处以联想网御防火墙联动为例）

47. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——响应方式 • 在“响应属性”界面中，将“响应对象”窗口中“联想网御防火墙”选项打“√”后双击，添加防火墙相应信息 注：此处的密钥口令是通过PUMA_KDC程序事先生成，将生成的密钥文件导出并上传给防火墙和IDS。其中IDS方面是通过“引擎”菜单中“引擎控制”选项下的“防火墙联动证书”功能将防火墙联动证书下发到探测引擎处的

48. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——响应方式 • 添加完成后，将“响应方式”窗口中“阻断”选项打“√”，出现“响应方式属性”界面，按需要修改相应选项内容。

49. 联想网御IDS策略编辑及应用——策略编辑 • 策略编辑——备注 • 备注：各功能的详细配置请参见《联想网御入侵检测系统用户手册》中的相关说明。

50. 目录 联想网御IDS产品简介 联想网御IDS部署原则 联想网御IDS探测引擎部署 联想网御IDS控制台安装 联想网御IDS策略编辑及应用 联想网御IDS数据库维护