NSS_PPT_CHAP07_V15NSS_PPT_CHAP07_V15.ppt

Chapter 第6章内容回顾 防火墙的备份与恢复 防火墙日志 三种存储格式 把日志存入SQL数据库是最常用的方式 防火墙警报 警报的作用 警报的告警方式 防火墙报告 报告的作用 报告的建立与查看 入侵检测系统 第7章 本章目标 了解IDS的基本原理 了解主机IDS、网络IDS的功能和作用 掌握如何在企业网中部署入侵检测系统 本章结构 什么是入侵检测2-1 QQ，经常发生密码被盗的事情 系统密码被盗 什么是入侵检测2-2 入侵 某人尝试进入一个系统，访问未经授权的资源 或者利用系统漏洞获得系统的最高权限等的非法行为 入侵检测系统工作原理2-1 IDS监听端口 收集它所关心的报文 特征比较 IDS提取相应的流量统计特征值，与特征库比对 报警 匹配度较高的报文流量将被认为是进攻，IDS将报警 入侵检测系统工作原理2-2 入侵检测系统分类3-1 基于主机的入侵检测 入侵检测系统分类3-2 入侵检测系统分类3-3 两种检测系统的比较 入侵检测产品介绍 阶段总结 入侵检测系统基本概念 什么是入侵？ 什么是入侵检测？ 什么是入侵检测系统？ IDS是如何检测到入侵的？ 阶段练习 什么是入侵检测系统？ 入侵检测是如何实现的？ Snort在Windows下的安装 安装Snort的一般步骤 安装步骤 安装Apache 添加Apache对PHP的支持 安装Snort 安装WinPcap 安装Adodb 安装Jpgraph 安装Acid 安装MySql 配置和检测Snort 安装Apache 安装步骤 启动安装程序 接受安装约定 选中定制安装 指定安装的路径 完成安装 添加Apache对PHP的支持2-1 拷贝php5目录下的php5ts.dll到WINDOWS\system32目录 添加Apache对PHP的支持2-2 在apache2\conf\httpd.conf文件中添加： LoadModule php5_module c:/php5/php5apache2.dll AddType application/x-httpd-php .php 打PHP的补丁 解压缩php5apache2.dll-php5.1.x.zip到C:\php5apache2.dll-php5.1.x目录 将C:\php5apache2.dll-php5.1.x目录下的php5apache2.dll文件拷贝到c:\php5目录下 ?将C:\php5apache2.dll-php5.1.x.目录下的httpd.exe.manifest文件拷贝到c:\apache\bin目录下 运行C:\php5apache2.dll-php5.1.x目录下的vcredist_x86.exe文件 添加Apache对GD库的支持 安装Snort 启动安装 选择Snort要使用的数据库 选择要安装的组件 选择安装路径 安装WinPcap 启动安装 接受协议 完成安装 安装adodb和jpgraph 安装adodb，解压缩adodb456.zip 至c:\php5\adodb 目录下 安装jpgraph 解压缩jpgraph-2.0.tar.gz 至c:\php5\jpgraph。 修改jpgraph.php: DEFINE(“CACHE_DIR”,”/tmp/jbgraph_cache”); 安装ACID 解压缩acid-0.9.6b23.tar.gz 至c:\apache\htdocs\acid 目录下 打开acid_conf.php文件，做如下修改： 安装MySql 启动安装 定制安装 选中配置MySql 详细配置 选中“多数据库模式” 选中作为Windows服务 设定超级用户口令 完成安装 启用PHP对MySql的支持 配置Mysql与Snort共同工作 建立Snort运行所需的snort和snort_archive数据库 生成Snort运行必需的数据表 为Mysql建立snort和acid帐号 为snort和acid用户分配相应的权限 配置Snort 打开snort\etc下的snort.conf，作如下修改： IDS检测入侵实例4-1 实例背景： 公司安装了Snort入侵检测系统 对基于网络的入侵进行检测 对基于主机的入侵进行检测 利用Acid入侵检测控制台进行入侵检测结果的分析 IDS检测入侵实例4-2 创建ACID入侵检测数据库 IDS检测入侵实例4-3 打开ACID主控台，查看入侵检测结果总图 IDS检测入侵实例4-4 入侵检测在企业网中的应用3-1 IDS的部署位置 入侵检测在企业网中的应用3-2 未部署IDS时的企业网络架构 入侵检测在企业网中的应用3-3 入