3.入侵检测系统的配置.ppt

内容简介 一、任务内容 二、背景知识 三、风险分析 四、步骤介绍 五、任务小结 一、任务内容 二、 背景知识 1、入侵检测技术 2、入侵检测的部署 1、 入侵检测技术 入侵检测的定义 入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵，并对此做出反映的过程。 入侵检测系统IDS（Intrusion Detection System）是一套运用入侵检测技术对计算机或网络资源进行实时检测的系统工具。IDS一方面检测未经授权的对象对系统的入侵，另一方面还监视授权对象对系统资源的非法操作。 1、 入侵检测技术 入侵检测的作用 （1）监视、分析用户和系统的运行状况，查找非法用户和合法用户的越权操作； （2）检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞； （3）对用户非正常活动的统计分析，发现攻击行为的规律； （4）检查系统程序和数据的一致性和正确性； （5）能够实时地对检测到的攻击行为进行响应； （5）对操作系统审计跟踪管理，并识别用户违反安全策略的行为。 1、 入侵检测技术 入侵检测的意义 （1）单纯的防护技术容易导致系统的盲目建设，一方面是不了解安全威胁的严峻和当前的安全现状；另一方面是安全投入过大而又没有真正抓住安全的关键环节，导致资源浪费。 （2）防火墙策略有明显的局限性。 （3）静态安全措施不足以保护安全对象属性。 （4）而入侵检测系统在动态安全模型中占有重要的地位。 2、 入侵检测的部署 （1）共享网络 共享式局域网是最简单的网络，它由共享式HUB连接各个主机。在这种网络环境下，一般来说，只需要配置一个网络探测器就可以达到监控全网的目的。 （2）墙前监听和墙后监听 安装两个在防火墙的前段和后端，随时监视数据包的情况，可以保护防火墙。 （3）交换机具备管理功能（端口镜像） 使用交换机（Switch）作为网络中心交换设备的网络即为交换式网络。交换机工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当网络中的交换机具备此功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将主机连接到镜像端口即可，此时可以捕获整个网络中所有的数据通讯。 2、 入侵检测的部署 （4）代理服务器 在代理服务器上安装入侵检测就可以监听整个网络数据。 （5）交换机不具备管理功能 一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网络的监控分析。如果中心交换或网段交换没有端口镜像功能，一般可采取串接集线器（Hub）或分接器（Tap）的方法进行部署。 使用网络分接器(Tap)：使用Tap时，成本较高，需要安装双网卡，并且在管理机器不能上网，如果要上网，需要再安装另外的网卡,将探测器部署在网络分接器上。 使用集线器(Hub)：Hub成本低，但网络流量大时，性能不高（Tap即使在网络流量高时，也对网络性能不会造成任何影响），将探测器部署在集线器上。 （6）DMZ区 将入侵检测部署在DMZ区对外网络节点上进行监控。 三、风险分析 四、步骤介绍 1、入侵检测的部署、安装及配置 具体步骤目标： 1.能正确部署入侵检测系统 2.能正确安装入侵检测系统 3.能正确设置入侵检测系统 四、步骤介绍 1、入侵检测的部署、安装及配置 网络环境： 四、步骤介绍 2、入侵检测与防火墙的联动 具体步骤目标：能正确地对防火墙和入侵检测进行联动设置 网络环境： 1、入侵检测的部署、安装及配置 1.入侵检测系统的部署 2.入侵检测系统的安装 入侵检测的物理安装 入侵检测的软件安装 3.入侵检测系统的配置 入侵检测系统探测器超级终端配置 入侵检测系统探测器系统配置 控制台系统配置 入侵检测数据库系统的配置 配置探头 策略配置 1.入侵检测系统的部署 入侵检测是监控某一局域网内部的网络数据流量，所以需要将入侵检测部署在该网络对外的接口设备上面。 1）将联想网御入侵检测的监控端口与交换机的镜像口连接，用于检测整个DMZ区的网络流量。 一般来说，交换机的镜像口为1号端口，有些交换机的镜像端口需要配置，配置方法会在其他实训中说明。 2）将联想网御入侵检测的COM口和控制主机的COM口连接，用于配置入侵检测的检测探头。 3）将联想网御入侵检测的通讯端口与控制主机的网卡口相连接，用于查看当前网络中的数据流量。 1.入侵检测系统的部署 在控制主机上安装入侵检测，配置相应策略之后看到当前网络中的数据。 到此入侵检测已经部署成功。 2.入侵检测的物理安装 2.入侵检测的物理安装 IDS的探测器部署在需要监听的网络节点上，其主要步骤如下： 1）将监听口上的RJ45