您的位置:360文档中心› 3-3《信息安全产品配置与应用》课程-入侵检测-【案例实践】

3-3《信息安全产品配置与应用》课程-入侵检测-【案例实践】

相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

《信息安全产品配置与应用》课程之入侵检测篇
准备工作:
1.我们得到并确认如下信息: 服务器区域IP段:192.168.2.0/24,网关指向192.168.2.1 内网区域IP段:192.168.1.0/24,网关指向192.168.1.1
为此我们规划入侵检测的接口地址分配如下表:
接口名称
接口ip地址 对端设备
备注
管理口 监控口
192.168.1.250 无ip地址
交换机内网区域 VLAN接口
交换机镜像端口
与IDS客户端通信使 用
服务器和内网区域 所有接口都要镜像
2.在交换机上配置镜像端口;
3.IDS控制主机安装好操作系统(最好是Windows操作系统)。
《信息安全产品配置与应用》课程之入侵检测篇
主要内容
《信息安全产品配置与应用》课程之入侵检测篇
因为要将IDS与防火墙进行联动,我们需要在客户的防火 墙上导出联动证书。
IDS配置步骤如下:
点击引擎菜单中的引擎控制,打开防火墙联动证书窗口,导入防火墙生成的联 动证书文件—Key_file_ids应用;
点击策略编辑器中的响应按钮,打开响应对话框,编辑“天融信防火墙”属性 ;
“策略”选择自动刷新探头,刷新出来后给这个探头分配策略。
《信息安全产品配置与应用》课程之入侵检测篇
《信息安全产品配置与应用》课程之入侵检测篇
探头配置好后,单击“确定”保存,然后就可以将刚才所选的配置下发 到IDS引擎上了。单击“同步”,依顺序选择“下发策略”,“应用策 略”。
《信息安全产品配置与应用》课程之入侵检测篇 这样IDS就配置完成了,大家可以在实时和历史事件中看到数据
根据上述情况,企业的网络管理员找到了我们,希望我们做个方 案,并提出以下要求: 1. 设计一个针对企业目前网络及应用适用的网络安全方案; 2. 方案可以实现对服务器和内网区域的监控; 3. 方案可以对内部服务器进行独立的保护; 4. 设备的产应采用最新技术,产品应具有延续性,至少保证3年的产品 升级延续。
《信息安全产品配置与应用》课程之入侵检测篇 3. 进入主界面后,先配置管理口;
《信息安全产品配置与应用》课程之入侵检测篇
管理口具体配置方法:
选择“系统管理”—>“网络配置” —>“IP配置” ,然后配置管理口的 ip地址(192.168.1.250),子网掩码(255.255.255.0),网关 (192.168.1.1)。
《信息安全产品配置与应用》课程之入侵检测篇
主要内容
了解客户需求及网络情况,设计方案 入侵检测配置前准备工作 入侵检测引擎配置 入侵检测管理中心配置
《信息安全产品配置与应用》课程之入侵检测篇 经过了解得到客户网络拓补图,如下:
《信息安全产品配置与应用》课程之入侵检测篇
针对客户网络情况,特别是核心应用目前的安全使用情况分析如 下: 目前没有针对服务器区域的入侵检测,无法监控服务器组的安全; 内网区域一旦中病毒无法第一时间发现和清除。
《信息安全产品配置与应用》课程之入侵检测篇 2. 登陆客户端,进行配置;(默认用户名:admin,密码:talent)
《信息安全产品配置与应用》课程之入侵检测篇
探头配置:
选择“资产”“引擎”,单击“添加”按钮,进行探头配置;
名称”和“组”自己填写,ip地址填入IDS控制口的ip (192.168.1.250) ,端口用默认的2002,“类型”选择自动获取,如果 获取不成功,查看IDS的控制口与管理机之间链接是否正常,能否ping 通,再看ip地址是否填写正确;
《信息安全产品配置与应用》课程之入侵检测篇
我们在接到客户的需求并进行分析后,发现客户网络是一个比较 简单的三层网络结构。内部网络通过一个核心交互机分为了两个区域 。(内网区域和服务器区域)
针对用户提出的需求,我们为客户提供了进一步的网络规划建议
如下: 1. 在核心交换机上部署一台入侵检测设备; 2. 将入侵检测设备与防火墙进行联动,保护服务器区域。
以上就完成了IDS引擎的操作,接下来我们介绍IDS控制主机的安 装方法。
《信息安全产品配置与应用》课程之入侵检测篇
主要内容
天融信入侵检测系统综述 入侵检测配置前准备工作 入侵检测引擎配置 入侵检测管理中心配置
《信息安全产品配置与应用》课程之入侵检测篇
在管理主机上安装、配置IDS客户端:
1. 安装客户端;
重庆电子工程职业学院
《信息安全产品配置与应用》之入侵检测篇(3/3) ——案例实践
《信息安全产品配置与应用》课程之入侵检测篇
本讲主要任务和学习目标
任务目标
任务1:学习网络安全方案中入侵检测系统的部署设计 任务2:入侵检测系统部署与策略配置实践
学习目标
掌握一般网络安全方案设计中入侵检测系统的部署方法 熟悉天融信入侵检测系统操作与实际应用
《信息安全产品配置与应用》课程之入侵检测篇
4. 然后进行监听口配置;
监听口具体配置方法:
返回主界面,选择“引擎管理” —>“引擎控制” —>“探头 配置”。将“监听网卡”选择为所需要的抓包口,“响应网卡”选择为 上面配置的管理口接口
《信息安全产品配置与应用》课程之入侵检测篇
监听口和控制口都配置好了,就可以将IDS引擎上线了。监听口接交换 机的镜像端口,控制口接交换机内网区VLAN域接口。
结合上边的网络规划,在目前的客户投入及需求的情况下,采用 入侵检测设计,是一个不错的也是性价比最好的方案,入侵检测部署 拓扑图如下:
《信息安全产品配置与应用》课程之入侵检测篇
《信息安全产品配置与应用》课程之入侵检测篇
主要内容ቤተ መጻሕፍቲ ባይዱ
天融信入侵检测系统综述 入侵检测配置前准备工作 入侵检测引擎配置 入侵检测管理中心配置
天融信入侵检测系统综述 入侵检测配置前准备工作 入侵检测引擎配置 入侵检测管理中心配置
《信息安全产品配置与应用》课程之入侵检测篇
步骤:
1. 用串口线把管理机和IDS的COM口 连接起来;
管理机
串口线 接COM
《信息安全产品配置与应用》课程之入侵检测篇
2. 在管理机上打开超级终端,进行IDS引擎的配置;(默认用户名: admin;密码:talent)
相关文档
最新文档