NSF-PROD-NIDS-V5.6.7-配置手册.doc.doc

绿盟网络入侵检测系统配置手册 文档版本：V5.6.7? 2017 绿盟科技  ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属绿盟科技所有，受到有关产权及版权法保护。任何个人、机构未经绿盟科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 目录 前言 1 期望读者 1 内容简介 1 获得帮助 1 格式约定 2 一. 典型部署 1 二. 典型策略配置示例 4 2.1 配置概述 4 2.2 入侵防护策略配置 5 2.3 应用管理策略配置 8 2.4 流量分析策略配置 10 2.5 与NSFOCUS ESPC连接配置 12 附录A 出厂参数 17 A.1 引擎接口初始设置 17 A.2 引擎初始管理员 17 A.2.1 Web操作员初始帐号 17 A.2.2 Web审计员初始帐号 17 A.2.3 串口管理员初始帐号 17 A.3 绿盟NSFOCUS ESPC管理员初始帐号 17 A.4 串口通讯参数 18 A.5 CLI管理员初始帐号 18  插图索引 图 1.1 旁路部署结构图 1 图 1.2 旁路部署方式 – 配置G1/1接口 2 图 1.3 旁路部署方式 – 配置M接口 3 图 2.1 入侵防护策略 – 新建检测蠕虫和病毒的入侵防护策略 6 图 2.2 入侵防护策略 – 新建检测全部事件的入侵防护策略 7 图 2.3 入侵防护策略 – 配置完成后的入侵防护策略列表 7 图 2.4 查看入侵防护事件 8 图 2.5 应用管理策略 – 自定义时间对象 9 图 2.6 应用管理策略 – 配置应用管理策略 9 图 2.7 应用管理策略 – 配置完成后的应用管理策略列表 10 图 2.8 新建流量分析策略 11 图 2.9 与NSFOCUS ESPC连接 13 图 2.10 ESPC本地IP设置 13 图 2.11 设备识别提示 14 图 2.12 安全设备列表 14 图 2.13 添加设备 15 图 2.14 重启服务 15 图 2.15 验证配置结果 16 前言 文档范围 本文介绍绿盟网络入侵检测系统（NSFOCUS Network Intrusion Detection System，以下简称NSFOCUS NIDS）的部署方式和典型配置。 本手册仅作为使用指导，实际产品可能会由于版本升级或其他原因，与手册描述有略微差异。 期望读者 期望了解本产品主要技术特性和使用方法的用户、系统管理员、网络管理员等。本文假设您对下面的知识有一定的了解： ? 系统管理 ? Linux和Windows操作系统 ? TCP/IP协议 内容简介 标题 简介 一、典型部署 介绍NSFOCUS NIDS在网络中的部署方式及配置方法。 二、典型策略配置示例 介绍NSFOCUS NIDS的各类防护配置的典型示例。 获得帮助 如需获取网络安全相关资料，请访问绿盟科技网站： 如需获取更详尽的绿盟科技网络安全专业服务信息、商务信息，您可通过如下方式与我们联系： 客户服务热线：400-818-6868（手机和固话均可拨打） 非工作时间服务热线网站： 邮箱：support@ 格式约定 粗体字 —— 命令和关键字 斜体字 —— 需要您输入的变量 —— 对描述内容的补充和引用信息。 —— 使用设备时的技巧和建议。 —— 需要特别注意的事项和重要信息。 —— 有可能造成人身伤害的警告信息。 【XXX】—— 按键名称的表示方式 A B —— 菜单项选择的表示方式 注：本文中所有图例均为屏幕截取，并对部分图中的敏感信息进行模糊处理。 一. 典型部署 应用场景 NSFOCUS NIDS在网络中的部署方式主要是旁路部署，部署结构如图 1.1 所示。 图 1.1 旁路部署结构图 配置准备 G1/1为监听口，连接到核心交换机的镜像口；M为带外管理口，与内网的管理区相连。同时，内网管理区中IP地址为的服务器安装绿盟NSFOCUS ESPC，负责日志的收集。各项参数配置如下： ? G1/1的IP设为，子网掩码设为，网关设为，安全区设为monitor。 ? M的IP设为，子网掩码设为，网关设为54，安全区设为management。 ? monitor和management均为系统默认的安全区，无需修改。 配置思路 1. 配置G1/1作为监听口。 2. 配置M接入内网。 3. 重启引擎。 配置步骤 请在设备上进行如下配置： 步骤1：选择菜单“网络 接口”，进入接口列表的页面。 步骤2：配置G1/1作为监听口，连接核心交换机的镜像口，IP地址设为，子网掩码设为，网关设为，如图 1.2 所示。 图 1.2 旁路部署方式 – 配置G1/1接口