实验十三 IDS设备部署与配置

实验十三 IDS设备部署与配置

【实验名称】

IDS设备部署与配置

【计划学时】

2学时

【实验目的】

1.熟悉IDS设备的部署方式

2.掌握设备的连接和简单设置

【基本原理】

一、IDS的4种部署方式

1镜像口监听

镜像口监听部署模式是最简单方便的一种部署方式，不会影响原有网络拓扑结构。在这种部署方式中，把NIDS设备连接到交换机镜像口网络后，只需对入侵检测规则进行勾选启动，无需对自带的防火墙进行设置，无需另外安装专门的服务器和客户端管理软件，用户使用普通的Web浏览器即可实现对NIDS的管理（包括规则配置、日志查询、统计分析等），大大降低了部署成本和安装使用难度，增加了部署灵活性。

部署方式如下图所示：

2NA T模式（可充当防火墙）

NAT模式是将蓝盾NIDS设备作为防护型网关部署在网络出口位置，适合于没有防火墙等防护设备的网络。在这种部署方式中，蓝盾NIDS设备可同时作为防火墙设备、防DDoS 攻击网关使用，可有效利用内置的防火墙进行有效入侵防御联动。NAT部署采取串联方式部署在主交换机前面，需要对网络拓扑结构进行改造，需要对蓝盾NIDS设备的自带防火墙进行规则设置及内外线连接设置，以达到多重防御的效果。用户通过Web浏览器可实现对NIDS 的全面管理（包括规则配置、日志查询、统计分析等）。

部署方式如下图所示：

3透明桥模式

透明桥模式是将蓝盾NIDS设备作为透明设备串接在网络中。这样既可以有效利用到蓝盾NIDS的各项功能，也可以不必改变原有网络拓扑结构。在这种部署方式中，蓝盾NIDS 设备可同时作为防火墙设备、防DDoS攻击网关使用，可以利用内置的防火墙进行有效入侵防御联动。用户通过Web浏览器可实现对NIDS的全面管理（包括规则配置、日志查询、统计分析等）。通常可以透明方式部署在DMZ区域，可将NIDS作为第二道防护网保护服务组群。部署方式如下图所示：

4混合模式

混合模式是应用以上三种模式的任意组合将蓝盾NIDS设备部署在较复杂网络。例如，可以通过一个网口监听某个工作区域子网，通过一对网口透明部署在DMZ区域，一对网口作为NAT防火墙保护另一个重点工作区域，同时对多个网络区域进行保护。用户通过Web浏览器可实现对NIDS的全面管理（包括规则配置、日志查询、统计分析等）。

部署方式如下图所示：

A

B

二 连接及设置 1 连接设备

下图以镜像口监听模式为例，显示如何连接蓝盾NIDS 设备。

2 网口出厂配置

蓝盾NIDS 设备提供的以太网接口主要有两种类型：管理口和业务口。管理口的以太网接口有IP 地址（出厂设置为192.168.0.145），供设备管理流量和其它告警上报流量通过。连接到设备管理口的所有管理终端计算机组成的网络称为“管理网络”。用户通过管理网络

内的终端计算机可以访问设备管理口，对系统进行管理和配置。

业务口可配置为镜像口监听模式、透明桥模式、网关NAT模式或者混杂模式。业务口主要用于捕获网络协议报文进行检测分析，是入侵检测系统“业务”的来源。

3各网口的出厂设置如下：

除了默认管理LAN1网口外，其余网口的设置均可在界面进行重新配置。例如，用户可以将LAN3、LAN4网口配置为透明桥。

4 登录管理界面

从管理PC登录蓝盾NIDS设备Web管理界面前，需要确认管理PC的IP地址与设备缺省管理口IP地址设置在同一网段：192.168.0.0/24。透过网线或独立交换机（非业务交换机）将管理PC连接到LAN1口，打开IE浏览器，在IE地址栏输入https://192.168.0.145 ,便可登录到蓝盾NIDS设备的web管理界面。初始用户名为“admin”，密码为“888888”。登录后出现主界面如图所示：

蓝盾NIDS设备前面板上标志为LAN1的以太网口为系统缺省管理口，缺省IP地址192.168.0.145。如此默认IP地址与用户网络IP地址无冲突，建议用户使用此默认IP地址。如果确实有需要更改管理口IP地址，则在下次启动时需要使用更改后的IP地址登录。

基于系统安全考虑，管理系统同一时间内只允许1个同名的用户登录。用户可设置多个用户帐号，为不同用户分配不同操作权限进行管理

5、网络配置前的准备

出厂配置已经有定义好的管理口、监听口。建议尽量使用出厂配置模式。如果出厂

配置不满足实际网络需求，才进行合理调整。

网络配置前，请先确定网络的拓扑结构和连接方式(旁路、透明、NAT、混合)，并

定义好使用的网口，以免配置过程中造成混乱。

如需要添加桥或NA T的外线接口，首先需要删除默认选项的监听网口。例如，删

除LAN3、LAN4镜像口，释放网口LAN3、LAN4。否则在透明桥接口或者NAT

网口选项中没有网口可供使用。

【实验拓扑】

以镜像口监听的部署方式来进行实验配置。

LAN2口

192.168.228.127/24网关：192.168.228.254

蓝盾NIDS

【实验步骤】

一、IDS 的初始配置。

1、 “网络设置”→“网口配置”→“网口”，将E2的LAN2的IP 配置为192.168.228.127，

点击保存，然后重启网络。（将LAN2口做为管理口，用于管理设备）

2、“系统”→“系统工具”→“IP工具”，直接ping 网关192.168.228.254检验与内网的连通性。

3、“系统”→“管理设置”→“管理界面访问设定”，网口选择LAN2，其余选项缺省，点击添加。

参数定义：

网口：wan设定、admin等端口

源IP或网络：某个固定IP地址或者网段是否能访问这些协议和网段。

备注：描述该规则用处。

注意：此项规则用于是否允许某个IP或者网段登录到管理界面

4、“现有规则”中新增一条通过LAN2访问IDS界面的策略。