3-5 实训指导(入侵检测产品部署设计)

IDS配置与应用（一）

IDS设计与部署实训

一、实训目的

1.学会使用Visio软件绘制网络拓扑图。

2.掌握网络安全需求分析的流程。

3.根据网络安全需求，制订网络规划和安全部署方案。

二、实训设备和工具

安装有Windows 2003操作系统和office 2003,visio 2003的计算机。

三、实训内容和步骤

任务描述：某公司的发展壮大，公司网络规模与信息应用均逐年增多，对互联网提供Web服务，员工也可以通过网络接入财务系统以及办公系统，企业的日常运作已经无法离开网络。因此，该客户要求设计一个确实可行并具备一定扩展能力的网络安全方案。

任务1：需求分析

任务2：安全方案设计

任务实施步骤：

第一步：现状调研：

根据上述情况，该企业对目前的应用情况进行调研，并分析如下：

1)该公司的web服务器将会对互联网用户开放；

2)公司的核心数据均采用网络方式传输，并存储于主机硬盘上；

3)公司对网络安全的依赖性极大，一旦网络或Web服务器发生故障，可能会严重影

响公司的业务；

4)网络规划得在不影响网络速度的前提下才行。该企业的基本网络结构如下图：

（图3-1：现状网络拓扑）

第二步：安全风险分析：

针对上述应用及网络情况，特别是核心应用，目前的安全使用情况分析如下：

1)目前没有针对服务器区域的入侵检测，无法监控服务器组的安全；

2)内网区域一旦中病毒无法第一时间发现和清除。

第三步：根据风险分析，制订如下安全需求说明书：

1)设计一个针对企业目前网络及应用适用的网络安全方案；

2)方案可以实现对服务器和内网区域的监控；

3)方案可以对内部服务器进行独立的保护；

4)设备的产应采用最新技术，产品应具有延续性，至少保证3年的产品升级延续。

第四步：根据需求说明书，制订网络安全方案：

我们在接到客户的需求并进行分析后，发现客户网络是一个比较简单的三层网络结构。内部网络通过一个核心交互机分为了两个区域（内网区域和服务器区域）。

针对用户提出的需求，我们为客户提供了进一步的网络规划建议，如下：

1)在核心交换机上部署一台入侵检测设备，对内外区域和服务器区域进行监控；

2)将入侵检测设备与防火墙进行联动，保护服务器区域；

结合上边的网络规划，在目前的客户投入及需求的情况下，采用入侵检测设计，是一个不错的也是性价比最好的方案，入侵检测部署拓扑图如下：

（图3-2：IDS部署简图）

如图示，我们在核心交换机的上旁路一台入侵检测设。

四、实训注意事项

方案设计完成后，一般会附有推荐使用的产品及产品功能介绍。

事实上很少有单独的IDS产品设计，一般情况为解决整体网络安全问题，会部署多款网络安全产品。

五、思考题

如果完全依照上述方案来完成客户的网络改造的话，可以实现哪些效果？