联想网御科技有限公司 2007 年 4 月

联想网御IDS安装调试培训教材 联想网御科技有限公司 2007年4月

目录入侵检测系统在网络中的部署联想网御IDS的安装(控制台和探测器) 联想网御IDS的策略配置日志数据库的维护 • 规则库升级

目录入侵检测系统在网络中的部署联想网御IDS的安装(控制台和探测引擎) 联想网御IDS的策略配置日志数据库的维护 • 规则库升级

网御入侵检测产品介绍 • 结构基于C/S模式 • 联想网御新版IDS型号 • 百兆标准型：N120 • 百兆增强性：N820 • 千兆标准型：N3200 • 千兆增强型：N5200

入侵检测系统的部署（原则） • 理解网络拓扑 • 理解需求（哪些信息流需要检测） • 得出可行的接入点和接入方式 • 能否优化 • 优先1 不改变现有拓扑 • 优先2 Sensor和Console间通信的可靠 • 优先3 避免对冗余流量的分析

部署模式 • 共享模式监听口无IP 管理口单独部署 Console HUB IDS Sensor Monitored Servers

部署模式 • 交换模式监听口无IP 管理口单独部署 Console Switch IDS Sensor 通过端口镜像实现（SPAN / Port Monitor） Monitored Servers

Console 部署模式 • TAP模式无IP TAP 通过TAP设备 IDS Sensor Switch Monitored Servers

Console 部署模式 • 隐蔽模式（带外管理）无IP Switch IDS Sensor

产品安装 • 控制台必须安装在windows2000及以上平台（尽量使用professional) • 文件系统尽量使用NTFS格式 • 安装最新的service pack • 关闭不必要的服务 • 确保账号的安全性

入侵检测系统控制台安装 控制台安装步骤 • 把安装盘放入光驱，自动运行安装程序或手动选择执行“网御IDS 控制台安装”程序setup.exe

入侵检测系统控制台安装 控制台安装步骤 • 仔细阅读网御IDS使用协议，如果同意请选“是”，不同意则选“否”。

入侵检测系统控制台安装 控制台安装步骤 • 填写用户注册信息。

入侵检测系统控制台安装 控制台安装步骤 • 网御IDS 控制台的默认路径为“C:\Program Files\Lenovo \IDS”。假如更改安装路径，则选择“查找”指定安装的路径，按“确认”按钮。再按“下一步”。

入侵检测系统控制台安装 控制台安装步骤 • 网御IDS 控制台的安装过程需要导入认证证书，用户选择相应目录下的任意一个证书即可。

入侵检测系统控制台安装 控制台安装步骤 • 网御IDS 控制台的安装过程需要导入认证证书，用户选择相应目录下的Cacert.pem或izpl.pem任意一个证书即可。

入侵检测系统控制台安装 控制台安装步骤 • 选定证书后，按“下一步”按钮。进入选择服务的程序组名，缺省为网御IDS控制台v3.2.8。

入侵检测系统控制台安装 控制台安装步骤 • 确认安装事项后，按“下一步”按钮。开始复制文件。

入侵检测系统控制台安装 控制台安装步骤 • 选择默认保存日志的路径后继续“下一步”。

入侵检测系统控制台安装 控制台安装步骤 • 安装结束后出现如下“安装结束”画面，按“完成”按钮，结束安装。

探测引擎设置 探测引擎连接设置 • 使用随机所附的串口线，将联想网御IDS探测引擎的串口与一台装有超级终端的个人计算机的串口连接起来。设置超级终端直接连接到串口1，如下图：

探测引擎设置 探测器连接设置 • 设设置超级终端的波特率：38400；数据位：8；奇偶校验：无；停止位：1；流量控制：无，如下图：

探测引擎设置 • 按回车键，建立连接后（出现login: 提示符），输入正确的账号和密码，就能够登陆网御IDS探测引擎，进入网御IDS探测引擎的设置模式。网御IDS探测引擎出厂时，默认的串口管理员账号和密码分别为：lenovo/default，下图为登陆后的主界面

探测引擎设置 • 串口登陆后即进入探测引擎配置主菜单

探测引擎设置 • 在主菜单内选择2系统管理,进入系统管理界面

探测引擎设置 • 在系统管理界面输入1网络配置，进入网络配置界面

探测引擎设置 • 在网络配置界面输入1查看&编辑IP配置，进入通讯端口IP地址配置界面

探测引擎设置 • 选择1开始并完成通讯端口的IP地址配置

控制台设置 • 首先以帐号：lenovo密码：default的帐号口令登陆网御IDS的控制台

控制台设置 • 在菜单“资产”内选择引擎，并在客户端资产管理—引擎窗口内选择“添加”

控制台设置 • 在添加探测引擎的过程中需要为探测引擎相应的检测策略

控制台设置 • 点击此处“确定”，完成探测引擎的添加工作

控制台设置 • 点击菜单“引擎”下的“策略”，进入策略编辑界面。联想网御IDS缺省带有5个策略模板，可以通过策略模板派生出相应策略供用户编辑

控制台设置 • 双击派生出策略或选择要编辑的策略选择“编辑”，进入策略编辑

注意： • 控制台与探测器之间是C/S模式，通讯是每时都在进行的，当探测引擎在未与控制台连接的状态下长时间单独运行时，会将报警日志缓存在探测引擎的本地硬盘上，当控制台再次连接上探测引擎后，探测引擎会自动将报警日志上传给控制台，由于传送和存储日志会占用很多系统资源，在自动传送日志时，控制台会出现运行缓慢的现象，用户需等待，具体时间视控制台配置和日志大小而定。 • 控制台后台数据库包含网络私密信息，所以，最好让控制台专机专用，不要和其他系统安装在一起。以免信息泄露。 • 尽量只选择并使用一个监听口，这样可以最大发挥产品的性能，多监听口同时工作会降低产品。

控制台策略配置-内网对象 • 进入策略编辑界面编辑用户自定义策略首先需要根据用户实际网络编辑内网对象。

控制台策略配置-内网对象 • 进入策略-网络编辑界面添加内网对象，添加相应的内网名称、网络/IP范围、选定“内部IP”选项，只有选定了“内部IP”所添加的内网对象才能生效。

注意： • 内网对象的定义影响部分功能的正常工作。建议用户在部署、使用产品之前，要先定义好内网对象。受内网对象影响的功能有： • 网络流量统计功能 • 部分扫描攻击检测 • 部分DoS攻击检测

控制台策略配置-响应方式 • 点击快捷工具栏上“响应”，进入响应编辑窗口。主界面提供了非联动的响应方式列表。

控制台策略配置-响应方式 • 联动类响应方式需添加，选择“添加”按钮后，选择相应类型中的相关响应方式进行配置即可。

控制台策略配置-响应方式 • 应用响应策略。在快捷工具栏中选择“事件/策略”下的“策略”下的“添加”，用户可按事件名、源地址、目的地址、风险级别、事件类型、服务、时间等因素组合定制响应的响应方式

控制台策略配置-策略下发 • 编辑完策略后，将被编辑的策略拖拽到需要应用的探测引擎，系统会通知用户“是要把策略应用于引擎吗”，选择“是”系统即会自动下并应用这个策略。

日志数据库的维护　　　　　 • 在快捷工具栏中选择资产-〉环境设置，在此可配置选择使用ACCESS数据库还是MS SQL SERVER数据库。缺省安装情况下使用ACCESS数据库

日志数据库的维护日志备份设置 • 资产-环境设置-备份策略设置，定义按用户需要的日志备份计划任务，定期执行数据的备份工作。

日志数据库的维护日志同步 • 在快捷菜单日志-日志同步，进入日志同步窗口，日志同步功能是提供手动的日志同步功能包括入侵日志和流量日志两部分

日志数据库的维护日志删除 • 在快捷菜单日志-日志备份，进入日志备份/恢复窗口，日志备份/恢复提供了对日志的手动备份和恢复功能，

日志数据库的维护日志压缩 • 在快捷菜单日志-日志压缩，针对ACCESS数据库，我们提供了数据压缩功能

联想网御科技有限公司 2007 年 4 月