天融信入侵检测系统安装手册

合集下载

天融信脆弱性扫描和管理系统~快速安装和使用手册

天融信脆弱性扫描与管理系统快速安装与使用手册二O一三年六月天融信脆弱性扫描与管理系统--快速安装与使用手册目录第一章部署要求 (1)第二章使用需求 (2)第三章系统使用 (3)3.1系统登陆 (3)3.2用户管理 (3)3.3系统管理 (5)3.4任务管理 (6)第四章声明 (13)第一章部署要求天融信脆弱性扫描与管理系统连接网管交换机或者中心交换机上，进行网络安全评估，比如小型机、PC SERVER、网络设备（交换机、路由器等）、安全设备（如防火墙）及各工作站系统，进行周期性的安全扫描，得出评估分析报告，然后进行相应的漏洞修补或重新设计安全策略，以达到网络中硬件设备系统和应用平台的安全化。

●控制台的操作系统要求：无特殊要求，安装有通用浏览器（Firefox/IE）的操作系统均可，推荐操作系统Windows XP/server2003/Vista/Win7/Server2008；●控制台硬件性能要求：最低配置Pentium4或更高性能CPU；1GB 或更高容量的内存●控制台浏览器要求：系统安装有火狐（FireFox）3.0以上版本（推荐使用该浏览器）或者安装有IE6.0以上版本（IE7/IE8等）的浏览器；●产品出货形式：硬件工控机+相关文档+相关附件；3.1系统登陆通过WEB方式配置硬件的具体操作步骤如下：1.将设备的eth0口用一根网线连到本地的交换机上，或者直接连到一台普通PC的网口上。

eth0口IP为192.168.1.254并以此类推eth1为192.168.2.254等等。

明确好管理IP后，即可进行首次登录。

2.在浏览器的地址栏输入https://192.168.1.254打开管理界面登录。

3.在进入登录界面前会弹出安全警报对话框，如下图所示：4.点击“是”，即可进入登录界面，如下图所示：默认管理账户：通过输入具有不同权限的用户名以及相应的密码便可以进入TopScanner系统的主界面（登陆用户可参照天融信脆弱性扫描与管理系统-用户手册），执行相应的操作。

入侵检测系统安装方案

入侵检测系统安装方案1.介绍入侵检测系统（Intrusion Detection System，简称IDS）是一种用来监测网络或系统中是否存在恶意活动和安全漏洞的工具。

安装一个可靠的IDS可以帮助保护您的网络不受未经授权的访问和攻击。

2.安装需求在实施入侵检测系统之前，您需要满足以下安装需求：- 多台服务器或计算机- 高速互联网连接- 具备管理员权限的操作系统- IDS软件和驱动程序的安装包3.安装步骤以下是安装入侵检测系统的步骤：1. 确定安装位置：选择一个适合的服务器或计算机作为IDS的主机，确保该主机与要保护的网络环境相连，并拥有足够的硬件资源来运行IDS软件。

3. 配置IDS软件：一旦软件安装完成，根据您的网络环境和需求，配置IDS软件的参数和规则，以确保系统能够正确地监测和报告潜在的入侵活动。

4. 更新和维护：定期更新IDS软件和相关的安全规则，以确保系统能够检测最新的入侵手段和攻击技术。

同时，定期检查和维护IDS系统，确保其正常运行并保持最佳性能。

5. 测试和优化：在将IDS系统投入正式使用之前，进行充分的测试和优化，以确保系统能够准确地检测和报告入侵活动，并及时采取相应的应对措施。

6. 培训和意识提高：提供员工培训，使其了解入侵检测系统的工作原理和使用方法，并注意安全意识的提高，以减少潜在的安全风险和漏洞。

4.风险和注意事项在安装入侵检测系统时，有以下风险和注意事项需要注意：- 配置错误：配置参数和规则时，请确保准确理解您的网络环境和需求，以避免误报或漏报的情况发生。

- 资源消耗：入侵检测系统可能会占用一定的系统资源，特别是在进行深度检测和报告分析时。

请确保主机有足够的硬件资源来支持IDS的正常运行。

- 虚警和误报：入侵检测系统可能会产生虚警和误报的情况，特别是在面对复杂的网络环境和攻击技术时。

需要定期审核和优化规则，以减少虚警和误报的发生。

- 定期更新和维护：为了确保系统的有效性和安全性，需要定期更新IDS软件和安全规则，并进行系统的维护和监控。

产品说明&技术白皮书-天融信入侵防御系统产品说明

天融信网络入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //天融信网络入侵防御系统TopIDP系列产品说明1前言 (2)2网络入侵防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (8)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7先进的无线攻击防御能力 (9)3.4.8精确的QOS流量控制能力 (9)3.4.9灵活的自定义规则能力 (9)3.4.10丰富的网络部署方式 (9)3.4.11高可靠的业务保障能力 (10)3.4.12可视化的实时报表功能 (10)4天融信网络入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)4.1.4WIPS旁路部署 (14)5结论 (15)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

网络入侵检测系统的安装与配置手册

网络入侵检测系统的安装与配置手册第一章：介绍网络入侵是指未经授权的用户或系统对网络资源的非法访问、修改、删除或者使用。

为了提高网络的安全级别，我们需要安装和配置网络入侵检测系统（IDS）。

本手册将为您详细介绍网络入侵检测系统的安装与配置步骤，以及如何确保系统的有效性和稳定性。

第二章：准备工作在开始安装和配置网络入侵检测系统之前，您需要进行一些准备工作：1. 确认您的计算机符合系统要求，包括硬件和软件规格。

2. 下载最新版本的网络入侵检测系统软件，并保证其完整性。

3. 确保您的计算机已经连接到互联网，并具有正常的网络连接。

4. 确定您的网络拓扑结构和系统域。

第三章：安装网络入侵检测系统在本章中，我们将为您介绍网络入侵检测系统的安装步骤：1. 解压下载的网络入侵检测系统软件包。

2. 打开安装程序，并按照提示完成安装过程。

3. 选择您所需要的组件和功能，并根据您的需求进行配置。

4. 安装完成后，根据系统指引完成系统初始化设置。

5. 配置系统的管理员账户和密码，并确保其安全性。

第四章：配置网络入侵检测系统在本章中，我们将为您介绍网络入侵检测系统的配置步骤：1. 设定系统的网络参数，包括IP地址、子网掩码、网关等。

2. 配置系统的安全策略，包括过滤规则、用户权限等。

3. 配置系统的监控规则，以便检测和报告任何潜在的入侵行为。

4. 确保系统的日志记录功能正常运行，并设置相关参数。

5. 配置系统的警报机制，包括警报方式、警报级别等。

6. 定期更新系统的规则库和软件补丁，以确保系统的正常运行和最新的威胁识别能力。

第五章：测试和优化网络入侵检测系统在本章中，我们将为您介绍如何测试和优化网络入侵检测系统：1. 进行系统的功能测试，确保系统的所有功能和组件正常工作。

2. 使用测试工具模拟不同类型的入侵行为，并观察系统的检测和警报机制。

3. 根据测试结果，调整系统的监控规则和警报机制，以提高系统的准确性和反应速度。

4. 分析系统的日志信息，发现和排除可能存在的问题。

天融信入侵ids

1.需要用串口线链接更改设备IP地址2.在pc机上安装管理控制台3.设置探头SOC与IDS联动测试操作说明一、产品升级因为需要对消息进行定制，所以产品进行了修改，需要对引擎和控制台进行升级。

升级包为附件的“TopSentryAgentUpdate.zip（引擎升级）”，控制台我们这边做了一个安装版本可以重新安装进行彻底升级。

具体升级方式如下：1.控制台升级重新安装新版本即可。

2.引擎升级1)按照产品帮助中“引擎升级”的操作将升级包传送到引擎2)进入串口配置程序（登录用户名：admin，口令：talent），选择“3—》3”进行升级3)至此升级完毕二、配置响应方式1)进入控制台，打开主菜单“引擎——》策略”2)双击当前应用的策略，弹出策略编辑器窗口3)选择主菜单中“响应”按钮，出现“响应”编辑窗口4)点“添加”，出现“响应属性”窗口6)点“响应类型”后面的选择按钮7)选择“SNMP Trap”，点确定，返回“响应属性”窗口8)点“响应对象”下的“添加”，出现“响应属性”编辑窗口9)“名称”可以随意填写；“SNMP版本”为默认；“服务器IP”为TRAP接收机器的IP地址；“端口”为默认；“团体”为默认；“引擎名”随意填写。

填写完毕，点“确定”。

返回“响应属性”窗口。

10)勾中“响应对象”中的“sss”，右侧“响应方式”下出现“SNMP Trap”11)勾中“响应方式”中的“SNMP Trap”，在窗口最下方空白栏出现定义的响应方式12)再重复以上6—11步，添加“SNMP性能信息”响应方式。

注：在添加响应对象属性时会多出“控制台IP”、“控制台版本”两项，可根据IDS实际部署情况添加。

13)点“确定”退出响应编辑页面。

返回到“策略编辑器”窗口14)在该窗口中，点页面左侧的“策略”按钮，右侧出现响应策略列表15)双击右侧默认为“全部”的响应策略，弹出响应策略属性窗口16)点“响应”后面的浏览按钮，出现响应列表17)选择“soc”响应，点“确定”返回响应策略属性窗口18)再点“确定”返回到“策略编辑器”窗口19)点主菜单中的“全部保存”按钮，保存以上所做的所有配置、20)点“退出”，再在上一窗口点“确定”。

3-6-2 实训指导(入侵检测客户端配置)

IDS配置与应用（二）IDS产品配置实训—IDS客户端配置一、实训目的1.掌握IDS引擎的配置方式。

2.掌握IDS管理中心的配置步骤。

3.了解IDS与防火墙的联动。

二、实训设备和工具安装有Windows 2003操作系统的若干台计算机，一台入侵检测设备，一台交换机(或HUB），一台天融信防火墙（或支持TOPSEC联动协议的防火墙）。

三、实训内容和步骤任务2：安装IDS管理中心IDS管理中心安装与配置首先在内网区域找一台计算机作为IDS的管理中心1)在管理主机上安装IDS客户端。

（图3-7：IDS客户端安装界面）2)登陆IDS客户端，进行探头配置（图3-8：IDS客户端登陆界面）登陆软件，用户名是admin，密码是talent选择“资产” “引擎”，单击“添加”按钮，进行探头配置。

（图3-9：IDS探头配置界面）“名称”和“组”自己填写，ip地址填入IDS控制口的ip，即192.168.1.250，端口用默认的2002，“类型”选择自动获取，如果获取不成功，查看IDS的控制口与管理机之间链接是否正常，能否ping通，再看ip地址是否填写正确。

“策略”选择自动刷新探头，刷新出来后给这个探头分配策略。

（图3-10：IDS探头策略配置界面）添加完探头和策略后单击“同步”，依顺序选择“下发策略”，“应用策略”。

（图3-11：IDS探头策略下发）IDS与防火墙进行联动1)在防火墙上进行联动配置，并导出与IDS的联动密钥。

（图3-12：防火墙导出的联动密钥）2)导入联动密钥。

点击引擎菜单中的引擎控制，打开防火墙联动证书窗口，导入防火墙生成的联动证书文件—Key_file_ids应用；（图3-13：IDS导入密码）点击策略编辑器中的响应按钮，打开响应对话框，编辑“天融信防火墙”属性；（图3-14：IDS编辑策略）此窗口为防火墙响应属性页，用户可以对其响应属性进行修改。

点击最下方对话框中的“天融信防火墙”，在响应对象中会出现“天融信防火墙”，点击出现右边对话框中的响应方式。

实验3.2入侵检测系统安装和使用.

实验3.2入侵检测系统安装和使用.实验3.2 入侵检测系统安装和使用【实验目的】通过安装并运行一个snort系统，了解入侵检测系统的作用和功能【实验内容】安装并配置appahe，安装并配置MySQL，安装并配置snort；服务器端安装配置php脚本，通过IE浏览器访问IDS【实验环境】硬件PC机一台。

系统配置：操作系统windows XP以上。

【实验步骤】安装apache服务器安装的时候注意，本机的80 端口是否被占用，如果被占用则关闭占用端口的程序。

选择定制安装，安装路径修改为c:\apache 安装程序会自动建立c:\apache2 目录，继续以完成安装。

添加Apache 对PHP 的支持1）解压缩php-5.2.6-Win32.zip至c:\php2）拷贝php5ts.dll文件到%systemroot%\system323）拷贝php.ini-dist (修改文件名) 至%systemroot%\php.ini修改php.iniextension=php_gd2.dllextension=php_mysql.dll同时拷贝c:\php\extension下的php_gd2.dll与php_mysql.dll 至%systemroot%\4）添加gd库的支持在C:\apache\Apache2\conf\httpd.conf中添加：LoadModule php5_module "c:/php5/php5apache2.dll"AddType application这一行下面加入下面两行：AddType application/x-httpd-php .php .phtml .php3 .php4AddType application/x-httpd-php-source .phps5）添加好后，保存http.conf文件，并重新启动apache服务器。

现在可以测试php脚本：在c:\apache2\htdocs 目录下新建test.phptest.php 文件内容：〈?phpinfo();?〉使用http://localhost/test.php测试php 是否安装成功2、安装配置snort安装程序WinPcap_4_0_2.exe；缺省安装即可安装Snort_2_8_1_Installer.exe；缺省安装即可将snortrules-snapshot-CURRENT目录下的所有文件复制(全选)到c:\snort目录下。

天融信脆弱性扫描和管理系统~快速安装和使用手册

eth0口IP为192.168.1.254并以此类推eth1为192.168.2.254等等。

明确好管理IP后，即可进行首次登录。

2.在浏览器的地址栏输入https://192.168.1.254打开管理界面登录。

天融信网络卫士入侵检测系统白皮书

安全推进应用
3
天融信网络卫士入侵检测系统技术白皮书
公司简介
北京天融信公司是中国网络安全行业的领先企业，是目前国内最大的专业从事网络安全技术研究、产品开发和安全服务的高科技企业。同时天融信公司正向集团化、国际化迈进，努力成为中国网络安全领域内最优秀最具国际竞争力的企业。
天融信公司最早成立于 1995 年，目前公司总部设在北京，形成北京、武汉、成都三大研发中心，同时在上海、广州、西安、沈阳、成都、长沙、武汉等 29 个省市设有分支机构，拥有 500 多名信息安全专业研发、咨询与服务人员。
根据进行入侵分析的数据来源的不同，可以将入侵检测系统分为基于网络的入侵检测系统（Network-Based Intrusion Detection System）和基于主机的入侵检测系统（Host-Based Intrusion Detection System）。
基于网络的入侵检测系统（NIDS）的数据来源为网络中传输的数据包及相关网络会话，通过这些数据和相关安全策略来进行入侵判断。
电子信箱：market@
安全推进应用
2
天融信网络卫士入侵检测系统技术白皮书
目
录
公司简介 .............................................................. 4
第 1 章入侵检测系统概述 ..................................................5
2000 年至 2003 年，天融信公司连续四年市场份额均居国内安全厂商之首。特别指出的是，国际权威咨询机构 IDC 统计：天融信 2003 年下半年防火墙市场份额达到了 17.28%，名列所有国内外安全厂商第一位，打破了国内安全厂商长期处于弱势地位的局面，为国内网络安全企业树立了新的里程碑。到目前为止，天融信公司拥有覆盖全国，涉及政府、电信、金融、军队、能源、交通、教育、流通、邮政、制造等行业的万余家客户群体。

天融信脆弱性扫描与管理系统快速安装与使用手册

天融信脆弱性扫描与管理系统快速安装与使用手册二O一三年六月天融信脆弱性扫描与管理系统--快速安装与使用手册目录天融信脆弱性扫描与管理系统连接网管交换机或者中心交换机上，进行网络安全评估，比如小型机、PC SERVER、网络设备（交换机、路由器等）、安全设备（如防火墙）及各工作站系统，进行周期性的安全扫描，得出评估分析报告，然后进行相应的漏洞修补或重新设计安全策略，以达到网络中硬件设备系统和应用平台的安全化。

控制台的操作系统要求：无特殊要求，安装有通用浏览器（Firefox/IE）的操作系统均可，推荐操作系统Windows XP/server2003/Vista/Win7/Server2008；控制台硬件性能要求：最低配置Pentium4或更高性能CPU；1GB 或更高容量的内存控制台浏览器要求：系统安装有火狐（FireFox）以上版本（推荐使用该浏览器）或者安装有以上版本（IE7/IE8等）的浏览器；产品出货形式：硬件工控机+相关文档+相关附件；3.1系统登陆通过WEB方式配置硬件的具体操作步骤如下：1.将设备的eth0口用一根网线连到本地的交换机上，或者直接连到一台普通PC的网口上。

eth0口IP为并以此类推eth1为等等。

明确好管理IP后，即可进行首次登录。

2.在浏览器的地址栏输入，如下图所示：3.点击“是”，即可进入登录界面，如下图所示：默认管理账户：通过输入具有不同权限的用户名以及相应的密码便可以进入TopScanner系统的主界面（登陆用户可参照天融信脆弱性扫描与管理系统-用户手册），执行相应的操作。

3.2用户管理天融信脆弱性扫描与管理系统提供了用户管理功能，并且对用户的密码进行了严格的控制，避免了使用默认密码带来的安全问题。

天融信脆弱性扫描与管理系统共有四种用户：超级系统管理员、超级日志审计员、系统管理员和日志审计员。

现已超级管理员为例，创建新的用户：超级系统管理员系统默认用户：superman，初始密码：talent。

天融信防火墙配置手册

防火墙配置一般有三种方式： B/S配置 ,C/S配置,Console口配置. 本实验防火墙采用C/S方式。区域之间缺省权限的设置
➢ STEP3: 防火墙区域缺省权限设置 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为允许访
问。操作说明：选择“可读、可写、可执行”选项，表示为允许访问。
➢ 本机PING其他区域内主机，测试连通性。 ‘网络’→‘区域’→ 防火墙三个区域→ ‘缺省访问权限’设为禁止访
问。操作说明：不选择“可读、可写、可执行”选项，表示为禁止访问。
➢ 本机PING其他区域内主机，测试连通性。第四个区域area_4为该软件上带的区域名，可不管,实际硬件上没有。
缺省访问权限是指区域之间主机的默认权限。如果是PING本区域内主机，由于是通过交换机进行通信，防火墙不能控制同一区域主机之间的权限，本区域内主机是能够连通的。
的的访问。然后在‘高级管理’→‘访问策略’→需要访问的目标
主机所在区域内‘增加’→‘包过滤策略’，策略源为访问端（只选择本机节点），策略目的为被访问端（只选择其他区域某节点），策略服务为PING，访问控制设为允许。注意策略源和目的只选择节点，针对主机进行权限设置。通过PING 对方主机测试连通性。
止。 8）通过包过滤策略，禁止本机访问INTERNET,策略服务为
TCP:80(HTTP服务)，测试能否连入互联网。 9) PING 某一网站域名(网址），记住其IP地址，通过访问策略禁止本机
PING此IP地址。
下半部份
二、通过防火墙透明模式测试区域网络的访问控制：说明：防火墙透明模式可以让同一网段在不同区域的主机进行通信。
• 常见的木马、病毒使用的端口尽量关闭，如445,7626，4006， 1027，6267等，对高发及最新病毒、木马端口要及时做出处理。

入侵检测系统安装和使用

入侵检测系统安装和使用
【实验目的】
通过安装并运行一个snort系统，了解入侵检测系统的作用和功能
【实验内容】
安装并配置appahe，安装并配置MySQL，安装并配置snort；服务器端安装配置php脚本，通过IE浏览器访问IDS
【实验环境】
硬件PC机一台。

系统配置：操作系统windows 10 。

【实验步骤】
1、安装appache服务器
启动appache服务器
测试本机的80 端口是否被占用，
2、安装配置snort
查看Snort 版本
安装最新版本程序WinPcap4.1.3.exe
2、安装MySql配置mysql
运行snort
1、网络入侵检测snort的原理
Snort能够对网络上的数据包进行抓包分析，但区别于其它嗅探器的是，它能根据所定义的规则进行响应及处理。

Snort 通过对获取的数据包，进行各规则的分析后，根据规则链，可采取Activation（报警并启动另外一个动态规则链）、Dynamic（由其它的规则包调用）、Alert（报警），Pass（忽略），Log（不报警但记录网络流量）五种响应的机制。

Snort有数据包嗅探，数据包分析，数据包检测，响应处理等多种功能，每个模块实现不同的功能，各模块都是用插件的方式和Snort相结合，功能扩展方便。

例如，预处理插件的功能就是在规则匹配误用检测之前运行，完成TIP碎片重组，http解码，telnet解码等功能，处理插件完成检查协议各字段，关闭连接，攻击响应等功能，输出插件将得理后的各种情况以日志或警告的方式输出。

天融信脆弱性扫描与管理系统-快速安装与使用手册簿

●控制台的操作系统要求：无特殊要求，安装有通用浏览器（Firefox/IE）的操作系统均可，推荐操作系统Windows XP/server2003/Vista/Win7/Server2008；●控制台硬件性能要求：最低配置Pentium4或更高性能CPU；1GB 或更高容量的存●控制台浏览器要求：系统安装有火狐（FireFox）3.0以上版本（推荐使用该浏览器）或者安装有IE6.0以上版本（IE7/IE8等）的浏览器；●产品出货形式：硬件工控机+相关文档+相关附件；3.1 系统登陆通过WEB方式配置硬件的具体操作步骤如下：1.将设备的eth0口用一根网线连到本地的交换机上，或者直接连到一台普通PC的网口上。

eth0口IP为192.168.1.254并以此类推eth1为192.168.2.254等等。

明确好管理IP 后，即可进行首次登录。

2.在浏览器的地址栏输入https://192.168.1.254打开管理界面登录。

天融信网络卫士入侵防御系统NGIDP说明书

本手册没有任何形式的担保、立场倾向或其他暗示。

若因本手册或其所提到的任何信息引起的直接或间接的资料流失、利益损失，天融信及其员工恕不承担任何责任。

本手册所提到的产品规格及资讯仅供参考，有关内容可能会随时更新，天融信恕不承担另行通知之义务。

TopSEC®天融信信息反馈目录1 产品简介 (1)1.1 产品概述 (1)1.2 产品组成 (1)2 产品特点 (3)3 产品功能 (6)4 运行环境 (9)5 典型应用 (10)5.1 典型部署图 (10)5.2 综合应用部署图 (11)1 产品简介1.1 产品概述天融信公司的“网络卫士入侵防御系统 TopIDP”是基于新一代并行处理技术，它通过设置检测与阻断策略对流经 TopIDP的网络流量进行分析过滤，并对异常及可疑流量进行积极阻断，同时向管理员通报攻击信息，从而提供对网络系统内部IT 资源的安全保护。

TopIDP 能够阻断各种非法攻击行为，比如利用薄弱点进行的直接攻击和增加网络流量负荷造成网络环境恶化的 DoS 攻击等，安全地保护内部 IT资源。

TopIDP 采用多核处理器硬件平台，将并行处理技术融入到天融信自主研发的安全操作系统 TOS中，保证了 TopIDP产品可以做到更高性能地网络入侵的防护。

产品说明-天融信网络卫士入侵防御TopIDP系列

天融信网络卫士入侵防御TopIDP系列产品说明天融信TOPSEC®北京市海淀区上地东路1号华控大厦100085电话：(86)10-82776666传真：(86)10-82776677服务热线：400-610-5119800-810-5119Http: //1前言 (2)2网络入侵检测与防御系概况 (2)2.1入侵防御系统与防火墙 (3)2.2入侵防御系统与IDS (3)3天融信网络卫士入侵防御系统TOPIDP (3)3.1产品概述 (3)3.2T OP IDP体系架构 (4)3.3T OP IDP主要功能 (5)3.4天融信网络卫士入侵防御系统T OP IDP特点 (6)3.4.1领先的多核SmartAMP并行处理架构 (6)3.4.2强大的攻击检测能力 (6)3.4.3精准的应用协议识别能力 (7)3.4.4实用的网络病毒检测功能 (7)3.4.5智能的上网行为监控和管理 (8)3.4.6立体的Web安全防护 (8)3.4.7精确的QOS流量控制能力 (8)3.4.8灵活的自定义规则能力 (9)3.4.9丰富的网络部署方式 (9)3.4.10高可靠的业务保障能力 (9)3.4.11可视化的实时报表功能 (10)4天融信入侵防御系统TOPIDP部署方案 (11)4.1.1典型部署 (11)4.1.2内网部署 (12)4.1.3IDP.VS.IDS混合部署 (13)5结论 (14)1前言随着计算机网络与信息化技术的高速发展，越来越多的企业、政府构建了自己的互联网络信息化系统，互联网络已成为人们生活中必不可缺的工具，在网络带来高效和快捷的同时，网络安全形势也从早期的随意性攻击，逐步走向了以政治或经济利益为主的攻击；攻击的手段从早期简单的扫描、暴力破解逐步过渡到通过缓冲区溢出、蠕虫病毒、木马后门、间谍软件、SQL注入、DOS/DDoS等各种混合手段攻击；攻击的层面也从网络层，传输层转换到高级别的网络应用层面；而很多黑客攻击行为也由单个个体转变到有组织的群体攻击行为上，其攻击行为有明显的政治或经济诉求目的，给政府、企业的网络信息业务系统安全造成极大隐患。

天融信配置手册

天融信配置手册
1、设备用2个接口,ETH1接互联网、ETH2接内网交换机;
2、登录设备：设备出厂ETH0口默认地址为默认用户名：superman密码：talent
在浏览器地址栏输入：回车登录设备
点击是
输入用户名：superman密码：talent点击登录
3、配置接口IP：
登录设备后选择网络管理---------接口---------物理接口
点击ETH1的图标：
在地址/掩码后输入各地互联网分配的公网地址,各个地市不一样,请落实后填写点击添加-----确定；
分别按上面方式配置ETH2口内网地址
4、添加默认路由：
选择网络管理------路由-------静态路由,点击添加
目的地址、目的掩码全是0.0.0.0；网关为互联网分配的公网地址,各个地市不一样,请落实后填写,metric、接口不用填写,点击确定
5、添加区域
点击资源管理------区域
点击添加
名称可以随意定义,为了统一,我们定义为互联网_eth1；选择属性为eth1；然后点击按钮,点击确定,
分别按上面设置内网区域各地统一
6、开放远程管理服务：
点击系统管理-----配置-----开放服务,然后点击添加
服务名称选择WEBUI；
控制区域选择互联网_eth1；
控制地址选择any;
点击确定按钮
7、保存配置
在页面的上方有保存配置按钮,请点击,在弹出的对话框中点击确定,保存配置;一定要保存配置,要不设备重起配置就丢失了。

天融信网络卫士入侵防御系统-web网站防护网关安装手册_Windows版本

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1系统整体说明 (1)2软件安装 (1)2.1安装程序 (1)2.2安装说明 (3)3卸载 (4)3.1卸载程序 (4)3.2卸载说明 (6)4天融信网站防护系统 (7)4.1网站保护配置工具 (7)4.2网站保护配置工具功能介绍 (7)1系统介绍天融信网站防护系统由网站保护配置工具和网站墙两部分组成。

z网站墙为硬件设备。

z网站保护配置工具为软件，其安装程序可通过设备的随机光盘获取，且仅与网站墙设备一起发放。

2软件安装2.1安装程序1）打开随机光盘，双击如下图的程序图标。

2）选择“下一步”后，软件会自动安装。

3）在软件自动安装期间，会弹出系统扫描界面，此时可以通过“添加目录”按钮来添加目录（c盘必须扫描，不可删除）。

选择“确定”，并单击“启动扫描”按钮开始对选定目录进行扫描。

稍等片刻便会弹出扫描结束的对话框。

至此，软件的安装完成。

入侵检测系统安装步骤

--单击create ACID AG
14、打开c:\snort\etc\snort.conf
--第111行改为var RULE_PATH c:\snort\rules
--第182行 dynamicpreprocessor directory后改为：C:\Snort\lib\snort_dynamicpreprocessor
7、安装Snort_2_6_0_Installer.exe，默认即可
8、打开IE--http://localhost--单击phpMyAdmin Database Manager Version 2.6.0-rc1，然后在IE
地址栏中phpmyadmin/后+index 回车。
在创建一个新的数据库下输入"snort"--创建
12、解压acid-0.9.6b23.tar.gz--进入解压文件夹--复制"acid"到c:\appserv\www\下
打开"acid文件夹"--找到acid_conf.php右击--用ultraedit打开--否
--第12行在“”中间加入--c:\appserv\php\adodb
--第32行在“”中间改为snort
--第35行在“”中间改为snort
--第36行在“”中间改为123456
--第42行在“”中间改为snort
--第43行在“”中间改为123456
--第69行在“”中间加入c:\appserv\php\jpgraph\src
--保存
13、IE打开--http://localhost\acid\acid_db_setup.php
9、解压snortrules-snapshot-CURRENT.tar.gz(规则)--进入解压文件夹--全选（3个文件夹）--复制到c:\snort\下，覆盖

相关主题

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

手册中涉及的其他公司的注册商标或是版权属各商标注册人所有，恕不逐一列明。

TOPSEC® 天融信公司信息反馈目录1前言 (1)1.1文档目的 (1)1.2读者对象 (1)1.3约定 (1)1.4相关文档 (2)1.5技术服务体系 (2)2安装天融信入侵检测系统 (3)2.1系统组成与规格 (3)2.1.1系统组成 (3)2.1.2系统规格 (3)2.2系统安装 (3)2.2.1硬件设备安装 (3)2.2.2检查设备工作状态 (4)2.3登录天融信入侵检测系统 (4)2.3.1缺省出厂配置 (5)2.3.2通过CONSOLE口登录 (6)2.3.3设置其他管理方式 (8)2.3.4管理主机的相关设置 (10)2.3.5通过浏览器登录 (10)2.4恢复出厂配置 (11)3典型应用 (12)1前言本安装手册主要介绍天融信入侵检测系统（即TopSentry）的安装和使用。

通过阅读本文档，用户可以了解如何正确地在网络中安装天融信入侵检测系统，并进行简单配置。

本章内容主要包括：●文档目的●读者对象●约定●相关文档●技术服务体系1.1文档目的本文档主要介绍如何安装天融信入侵检测系统及其相关组件，包括设备安装和扩展模块安装等。

1.2读者对象本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读，通过阅读本文档，他们可以独自完成以下一些工作：初次使用和安装天融信入侵检测系统。

管理天融信入侵检测系统。

1.3约定本文档遵循以下约定：1）命令语法描述采用以下约定，尖括号（<>）表示该命令参数为必选项。

方括号（[]）表示该命令参数是可选项。

竖线（|）隔开多个相互独立的备选参数。

黑体表示需要用户输入的命令或关键字，例如help命令。

斜体表示需要用户提供实际值的参数。

2）图形界面操作的描述采用以下约定：“”表示按钮。

点击（选择）一个菜单项采用如下约定：点击（选择）高级管理> 特殊对象> 用户。

为了叙述方便，本文档采用了大量网络拓扑图，图中的图标用于指明天融信和通用的网络设备、外设和其他设备，以下图标注释说明了这些图标代表什么设备：文档中出现的提示、警告、说明、示例等，是关于用户在安装和配置天融信入侵检测系统过程中需要特别注意的部分，请用户在明确可能的操作结果后，再进行相关配置操作。

文档中出现的接口标识eth1、eth2等，是为了表示方便，不一定与设备接口名称相对应。

1.4相关文档《天融信入侵检测系统产品说明》《天融信入侵检测系统用户手册》1.5技术服务体系天融信公司对于自身所有安全产品提供远程产品咨询服务，广大用户和合作伙伴可以通过多种方式获取在线文档、疑难解答等全方位的技术支持。

公司主页/在线技术资料/support/down.asp安全解决方案/solutions/qw.asp技术支持中心/support/support.asp天融信全国安全服务热线800-810-51192安装天融信入侵检测系统本章介绍了安装入侵检测系统前的准备工作，以及入侵检测系统的物理安装过程，同时介绍了几种登录入侵检测系统的方式，以便管理员对入侵检测系统进行管理。

包括如下主要内容：●天融信入侵检测系统的组成与规格●天融信入侵检测系统的安装●登录并管理天融信入侵检测系统●天融信入侵检测系统的出厂配置2.1系统组成与规格2.1.1系统组成天融信入侵检测设备（硬件）其他配套软件：具体请参见随机光盘的README.TXT描述。

2.1.2系统规格天融信入侵检测系统不同型号产品的电源参数、环境规范、物理规格、执行标准和安全规范及标准的内容可能会有所不同，具体请参见《天融信入侵检测系统产品说明》。

2.2系统安装2.2.1硬件设备安装一般遵循如下步骤安装硬件设备：1）支架安装机架式天融信入侵检测设备采用标准的19英寸机箱，可以安装固定在标准机柜中，随机附件中有一对上架支架（侧耳），将其固定在天融信入侵检测设备上。

2）将天融信入侵检测设备置于机柜托架上天融信入侵检测设备要求放在机柜的托架上，并适当调节机柜托架与天融信入侵检测设备的相对位置，使天融信入侵检测系统的固定支架在垂直方向上受力较小。

3）本地一台管理主机通过CONSOLE线缆与天融信入侵检测设备的CONSOLE口连接，供超级管理员进行初步配置。

4）把天融信入侵检测设备的网络接口通过直通网络线与对应安全区域中的网络设备相连接。

5）通过电源线连接天融信入侵检测设备和电源。

6）启动天融信入侵检测设备电源（电源开关位于设备后端）。

提示✧请注意随机配件中直通线（Passthrough）和交叉线（Crossover）的使用方法：交叉线用于通信主机间的直接连接，如天融信入侵检测设备与主机间的直接连接；直通线用于天融信入侵检测设备和网络设备的连接，例如天融信入侵检测设备与交换机等的连接。

✧用户可以根据需要安装扩展卡，关于扩展卡的安装请参考《TOPSEC扩展模块安装手册》。

✧对于有扩展模块的IDS设备，设备面板上扩展卡位的标识名称为Eth1、Eth2、Eth3等。

扩展模块上的接口则以0、1、2、3……的形式标识。

安装模块后，TOS系统识别各接口的名称为：扩展卡位标识+扩展模块的接口标识，例如Eth1卡位的接口2会被识别为Eth12，其他接口以此类推。

2.2.2检查设备工作状态天融信入侵检测系统的硬件设备安装完成之后，就可以通电使用。

在天融信入侵检测系统的工作过程中，用户可以根据天融信入侵检测系统面板上的指示灯来判断天融信入侵检测系统的工作状态，具体请见下表。

2.3登录天融信入侵检测系统网络管理员可以通过多种方式管理天融信入侵检测系统。

管理方式包括：本地管理，即通过CONSOLE口登录天融信入侵检测系统进行管理；远程管理，使用浏览器、SSH、TELNET等多种方式登录天融信入侵检测系统进行配置管理。

第一次使用天融信入侵检测系统，管理员可以通过CONSOLE口以命令行方式、通过浏览器以WEBUI方式进行配置和管理。

在下面几节中，将会介绍如何通过CONSOLE 口登录到天融信入侵检测系统并配置其他几种管理方式。

其中，WEBUI管理方式是最方便、也是最常用到的管理方式。

2.3.1缺省出厂配置天融信入侵检测系统在出厂时使用了以下默认配置：2.3.2通过CONSOLE口登录通过CONSOLE口登录到天融信入侵检测系统，可以使用命令行方式对天融信入侵检测系统进行一些基本的设置，用户在初次使用天融信入侵检测系统时，通常都会登录到天融信入侵检测系统更改入侵检测系统的出厂配置（如接口IP地址等），以便在不改变现有网络结构的情况下将天融信入侵检测系统接入网络中。

这里将详细介绍如何通过CONSOLE口连接到天融信入侵检测系统。

1）将CONSOLE口控制线的RJ45接口端和天融信入侵检测设备的CONSOLE口相连接，DB-9接口端和计算机的串口（这里假设使用COM1）相连接。

（部分产品无RJ45接口形式的Console口，故需要使用DB9-DB9 Console控制线）。

2）在计算机中建立天融信入侵检测系统和管理主机的连接。

选择开始> 程序> 附件> 通讯> 超级终端，系统提示输入新建连接的名称。

如下图所示。

用户可以输入任何名称，这里假设名称为topsec，输入名称确定后，提示选择使用的接口（假设使用COM1），如下图所示。

点击“确定”按钮后，可以对COM1的属性进行设置，如下图所示。

用户可以点击“还原为默认值”按钮，也可以按照以下参数设置COM1口的属性。

成功连接到天融信入侵检测系统后，超级终端界面会出现输入用户名和密码提示。

直接输入默认的用户名/密码（superman/talent），即可登录到天融信入侵检测系统。

3）登录后，用户便可使用命令行方式对天融信入侵检测系统进行配置管理等操作。

提示✧天融信入侵检测系统对于用户名和密码大小写敏感。

✧本地管理员具有天融信入侵检测系统所有管理权限，为超级管理员。

2.3.3设置其他管理方式从CONSOLE口本地登录天融信入侵检测系统后，管理员可以通过命令行对入侵检测系统进行一些必要的设置，如更改、添加接口IP，添加其他的远程管理方式（包括“WEBUI管理”、“TELNET”和“SSH”），方便对天融信入侵检测系统的管理维护。

本节将以设置WEBUI管理方式为例介绍如何使用命令行方式添加其它管理方式。

另外，管理员还可以使用浏览器通过Eth0（或MGMT）接口对入侵检测系统进行设置。

这要求管理主机与Eth0（或MGMT）的缺省出厂IP处于同一网段。

2.3.3.1设置接口IP地址用户可通过天融信入侵检测系统的任一物理接口远程管理天融信入侵检测系统，但是在此之前，管理员必须为此物理接口配置IP地址，作为远程管理天融信入侵检测系统的管理地址。

命令行语法如下：network interface <string>ip add <ipaddress> mask <netmask>参数说明：string：天融信入侵检测系统物理接口名称，字符串，例如eth10。

ipaddress：IP地址，如192.168.91.22。

netmask：子网掩码，如255.255.255.0。

2.3.3.2指定管理方式管理员可以为已定义的IP地址（或子网、地址段）指定其可使用的远程管理方式。

在命令行中可以使用pf service命令指定管理方式。