启明星辰客户产品培训-培训讲义.ppt

启明星辰客户产品培训启明星辰客户产品培训培训讲义培训讲义天阗天阗6.0入侵检测系统入侵检测系统入侵入侵检测系系统原理原理天天阗6.0入侵入侵检测与管理系与管理系统功能功能天天阗6.0入侵入侵检测系系统的安装配置的安装配置天天阗6.0入侵入侵检测系系统的使用与日常操作的使用与日常操作天天阗6.0策略策略优化化,日志日志维护与常与常见问题第一部分第一部分入侵入侵检测系系统原理原理IDSIDS的作用的作用 在安全体系中，在安全体系中，IDSIDS是唯一一个通是唯一一个通过数据和行数据和行为模式判断其是否有模式判断其是否有效的系效的系统 监控室监控室=控制中心控制中心Card Card KeyKey监控前门和保安监控前门和保安监控屋内人员监控屋内人员监控后门监控后门监控楼外监控楼外IDSIDS的安全职责的安全职责 实时检测：实时地监视、分析网络中所有的数据报文，实时检测：实时地监视、分析网络中所有的数据报文，发现并实时处理所捕获的数据报文发现并实时处理所捕获的数据报文 安全审计：通过对安全审计：通过对IDSIDS系统记录的网络事件进行统计分系统记录的网络事件进行统计分析，发现其中的异常现象，得出系统的安全状态，找出析，发现其中的异常现象，得出系统的安全状态，找出所需要的证据所需要的证据 （注意和审计产品的不同）（注意和审计产品的不同）IDS的检测方法的检测方法目前有以下两种目前有以下两种检测方法方法误用用检测模型（模型（Misuse Detection)Misuse Detection)：收集非正常：收集非正常操作的行操作的行为特征，建立相关的特征特征，建立相关的特征库，当，当监测的用的用户或系或系统行行为与与库中的中的记录匹配匹配时，系，系统就就认为这种行种行为是入侵是入侵异常异常检测模型（模型（Anomaly Detection ):Anomaly Detection ):首先首先总结正正常操作常操作应该具有的特征（用具有的特征（用户轮廓），当用廓），当用户活活动与正常行与正常行为有重大偏离有重大偏离时即被即被认为是入侵是入侵 目前商用的基本都是第一种，第二种在目前商用的基本都是第一种，第二种在实验环境中有境中有应用。

用基于网络的基于网络的IDS网络网络IDSIDS的基本结构的基本结构 探测引擎探测引擎 引擎的主要功能为：引擎的主要功能为：原始数据读取、数据原始数据读取、数据分析、产生事件、策分析、产生事件、策略匹配、事件处理、略匹配、事件处理、通讯等功能通讯等功能 控制中心控制中心控制中心的主要功能为：控制中心的主要功能为： 通讯、事件读取、事件显示、策略定制、日志分析、事通讯、事件读取、事件显示、策略定制、日志分析、事件帮助等件帮助等 系统结构系统结构通讯通讯身份认证：是要保证一个引擎，或者子控制中心只身份认证：是要保证一个引擎，或者子控制中心只能由固定的上级进行控制，任何非法的控制行为将能由固定的上级进行控制，任何非法的控制行为将予以阻止予以阻止数据加密：完成身份认证后，利用相对简单的加密数据加密：完成身份认证后，利用相对简单的加密算法进行大量的数据交换算法进行大量的数据交换 ，保证数据的保密性保证数据的保密性第二部分第二部分天阗天阗6.0入侵检测与管理系统入侵检测与管理系统功能功能 网络入侵检测系统网络入侵检测系统产品品组件件网网络探探测引擎引擎管理控制中心管理控制中心综合信息合信息显示示日志分析中心日志分析中心特点特点 天天阗网网络入侵入侵检测系系统独独创性的将性的将检测、管理配置、管理配置、报警警显示以及日志分析四部分的功能可以示以及日志分析四部分的功能可以实现分开部分开部署，署，满足多人同足多人同时监测和分和分权限管理。

限管理产品型号产品型号产品型号产品型号NS200NS500NS2200NS2800多级管理多级管理不支持不支持支持支持不支持不支持支持支持向下分级向下分级无无支持支持无无支持支持网络环境网络环境百兆百兆百兆百兆千兆千兆千兆千兆检测网路检测网路默认默认一路一路默认默认一路一路默认默认一路一路默认默认一路一路检测能力检测能力100Mbps200Mbps1000Mbps2000Mbps天阗天阗6.0网络入侵检测系统安装网络入侵检测系统安装第三部分第三部分天阗天阗6.06.0的系统安装与配置的系统安装与配置目标目标安装天安装天阗6.0探探测引擎引擎安装天安装天阗6.0管理管理组件件通通过基本配置操作，使天基本配置操作，使天阗网网络入侵入侵监测系系统正常运行正常运行 通常部署方式 天阗6.06.0安装安装 天天阗6.06.0基本操作基本操作通常部署方式通常部署方式天阗探测引擎天阗入侵检测系统 Internet 外网接入的端口镜像到IDS的接入端口，对其进行实时的入侵检测天阗探测引擎 对内网的服务器或主机进行入侵检测 通常部署方式 天阗6.06.0安装安装 天天阗6.06.0基本操作基本操作准备事项准备事项明确引擎明确引擎监控范控范围分配相分配相应IP地址地址探探测引擎：管理控制端口引擎：管理控制端口管理管理组件：管理控制中心件：管理控制中心交交换机配置机配置结合交合交换机本身机本身对镜像的支持能力像的支持能力保保证检测重点服重点服务器器尽量不做全端口尽量不做全端口镜像像天阗天阗6.0安装安装安装探安装探测引擎引擎安装管理安装管理组件件安装探测引擎安装探测引擎探探测引擎引擎设置步置步骤1. 1. 通通过超超级终端端连接后面板串口接后面板串口2. 2. 配置探配置探测引擎引擎IPIP地址地址/ /子网掩子网掩码/ /路由路由设置置3. 3. 退出退出设置置4. 4. 正确插好正确插好监听端口和通信端口的网听端口和通信端口的网线标识说明标识说明超超级终端的端的连接端口接端口硬件引擎的数据包硬件引擎的数据包监听端口，听端口，连接交接交换机的机的镜像端口像端口 硬件引擎的管理控制端口，主要用于与管理控硬件引擎的管理控制端口，主要用于与管理控制中心通制中心通讯硬件引擎的硬件引擎的USB端口，主要用于引擎系端口，主要用于引擎系统软件件的升的升级安装探测引擎安装探测引擎探测引擎登陆界面探测引擎登陆界面 用户名：用户名：venusvenus，口令为，口令为12345671234567安装探测引擎安装探测引擎探测功能菜单探测功能菜单通过菜单选项设置通过菜单选项设置口令、地址口令、地址配置完毕后退出超配置完毕后退出超级终端级终端注意选项注意选项3 3：重：重置引擎认证密钥。

置引擎认证密钥天阗天阗6.0安装安装安装探安装探测引擎引擎安装管理安装管理组件件运行环境运行环境控制中心安装需求控制中心安装需求 CPU CPU：P4 2.0G P4 2.0G 以上以上 内存：内存：1G 1G 以上（以上（连接多个引擎或者子控，要求接多个引擎或者子控，要求2G2G） 存存储：20G 20G 以上的剩余空以上的剩余空间 网卡：百兆以上网卡：百兆以上运行环境运行环境软件配置要求件配置要求操作系操作系统：推荐使用：推荐使用windows 2k sp4、windows 2003，可以使用，可以使用windows XP sp2注意操作系注意操作系统只支持中文版！只支持中文版！杀毒毒软件件: 可可选办公公软件：件：Office 2000/XP安装管理组件安装管理组件安装数据安装数据库要求系要求系统先安装数据先安装数据库 安装安装MSDE或或SQL Server安装安装结束后重启服束后重启服务器器安装管理组件安装管理组件两种安装方式：全部安装和定制安装两种安装方式：全部安装和定制安装安装管理组件安装管理组件定制安装：定制安装：如果分布式管理，可以选择要分布式安装的组件，如果分布式管理，可以选择要分布式安装的组件，例如只安装显示模块或日志分析中心。

例如只安装显示模块或日志分析中心安装管理组件安装管理组件建立建立SQLSERVER数数据据库天天阗后台运行数后台运行数据据库，必需 注意：注意：sasa口令一定要修口令一定要修改改文件目文件目录最好不最好不要在系要在系统盘安装管理组件安装管理组件提示安装水晶提示安装水晶报表表组件管理管理报表运行必需表运行必需安装管理组件安装管理组件安装完成信息，重新启动计算机安装完成信息，重新启动计算机 整体部署 天阗6.06.0安装安装 天天阗6.06.0基本操作基本操作基本配置基本配置-1用用户管理管理天天阗用用户有三有三类：用：用户管理管理员、审计员、管理、管理员默默认用用户有：用有：用户管理管理员admin，口令，口令venus60，审计员audit，口令，口令venus60，管理，管理员adm，口令，口令venus60添加管理员时注意选择添加管理员时注意选择“可以登录可以登录”基本配置基本配置-2进入管理控制中心入管理控制中心序列号授序列号授权 以管理以管理员帐号登号登录基本配置基本配置-3添加模添加模块系系统自自带一个一个显示中心模示中心模块选择添加添加组件的件的类型型输入入组件的件的IP地址地址基本配置基本配置-4显示中心配置通示中心配置通讯参数参数管理控制中心管理控制中心综合合显示中心示中心配置真实配置真实IP，避免使用，避免使用127.0.0.1基本配置基本配置-5启启动连接接组件件组件管理件管理-启启动连接接查看看组件属性件属性检查综合显示中心已经启动检查综合显示中心已经启动基本配置基本配置-6导入引擎授入引擎授权文件文件基本配置基本配置-76.升升级事件事件库(每周每周5下午更新事件下午更新事件库)自自动升升级(需要能需要能连接上互接上互联网网)手手动升升级思考：为什么要做事件库升级？思考：为什么要做事件库升级？基本配置基本配置-8下发策略下发策略系统策略系统策略用户自定义策略用户自定义策略第四部分第四部分天天阗6.0系系统的使用与的使用与日常操作日常操作 网络入侵检测系统常用功能 网络入侵检测系统高级功能 网络入侵检测系统日常维护常用功能常用功能查看事件看事件策略基本操作策略基本操作报表表输出出数据数据库维护更新升更新升级查看事件查看事件查看看报警事件警事件双双击出出现事件事件详细信息信息显示设置显示设置添加窗口添加窗口树型窗口型窗口策略基本操作策略基本操作策略衍生策略衍生策略集操作策略集操作策略向策略向导策略策略导入入导出出策略基本操作策略基本操作编辑策略策略策略基本操作策略基本操作策略下策略下发报表输出报表输出日志分析日志分析中心中心提供多种缺省提供多种缺省模板和方案文模板和方案文件件强大的条件过强大的条件过滤功能滤功能数据库维护数据库维护自自动维护和手和手动维护支持支持MSDE、SQL Server和其他以和其他以ODBC连接的数据接的数据库数据库维护数据库维护自自动备份份按按时间进行行备份份 自动维护自动维护数据库维护数据库维护设定手定手动维护条件，条件，然后手然后手动完成数据完成数据库维护工作工作 手手动删除、手除、手动备份份数据数据库摘要摘要手动维护手动维护数据库维护数据库维护ACCESS数据数据库 SQL数据数据库导入数据导入数据更新升级更新升级产品升级产品升级引擎升级：引擎升级：控制中心下发控制中心下发USB升级升级软件升级软件升级：升级管理中心升级管理中心网站下载网站下载 更新升级更新升级事件事件库升升级(每周每周5下午更新事件下午更新事件库)自自动（需要能（需要能连接上互接上互联网）网）手手动 网络入侵检测系统常用功能 网络入侵检测系统高级功能 网络入侵检测系统日常维护日常工作建议日常工作建议每日每日查看天看天阗控制台工作是否启控制台工作是否启动或是或是否工作正常。

否工作正常每日每日查看控制台看控制台连接引擎是否正常接引擎是否正常每日早晚各一次每日早晚各一次查看看报警信息对可疑事件可疑事件进行及行及时分析及及时调整并下整并下发天天阗工作策略工作策略根据情况及根据情况及时上上报事件日常维护建议日常维护建议至少每周至少每周进行一次天行一次天阗事件事件库更新注意启明星辰网站注意启明星辰网站对天天阗事件。