任务11入侵检测设备应用讲解.ppt

;学习目标;;;;任务背景：最近学校的校园网经常受到黑客的入侵和攻击，校园网配置的防火墙已经不能完全阻挡这些攻击行为了，黑客的攻击大大影响了学校的正常工作。因此在张老师的建议下，学校购置了入侵检测系统：RG-IDS 100传感器及相应软件。张老师需要在短时间内掌握传感器的使用环境和入侵检测系统的安装。;RG-IDS是自动的、实时的网络入侵检测和响应系统，它以不引人注目的方式最大限度地、全天候地监控和分析网络的安全问题。捕获安全事件，给予适当的响应，阻止非法的入侵行为，从而保护网络的信息安全。 RG-IDS由下列程序组件组成：控制台、EC、LogServer、传感器、报表。 控制台（console）是RG-IDS的控制和管理组件。它是一个基于Windows的应用程序，控制台提供图形用户界面来进行数据查询、查看警报并配置传感器。控制台有很好的访问控制机制，不同的用户被授予不同级别的访问权限，允许或禁止查询、警报及配置等访问。控制台、事件收集器和传感器之间的所有通信都进行了安全加密。 ;事件收集器（EventCollector，简称EC）可以实现集中管理传感器及其数据，并控制传感器的启动和停止，收集传感器日志信息，并且把相应的策略发送传感器，以及管理用户权限、提供对用户操作的审计功能。 LogServer是RG-IDS的数据处理模块。它需要集成DB（数据库）一起协同工作。RG-IDS 支持微软MSDE、SQL Server。 传感器（Sensor）需要部署在保护的网段上，对网段上流过的数据流进行检测，识别攻击特征，报告可疑事件，阻止攻击事件的进一步发生或给予其它相应的响应。 报表（Report）和查询工具作为IDS系统的一个独立的部分，主要完成从数据库提取数据、统计数据和显示数据的功能。Report能够关联多个数据库，给出一份综合的数据报表。查询工具提供查询安全事件的详细信息。;RG-IDS可以选择分布式和孤立式两种不同的部署模式。分布式部署是把不同的组件安装在不同的计算机上，利用网络统一管理分散在不同计算机上的组件。由于每台计算机处理不同的事务，所以分布式部署具有极强的数据处理能力。孤立式部署是把不同的组件安装在一台功能比较强大的计算机???，这种部署方式有利于管理，对于一般的中小企业很适用。根据校园网的实际需求，张老师选择了孤立式的部署模式，在一台计算机上安装SQL Server 2000数据库、LogServer、事件收集器、管理控制台和报表及查询工具等程序组件。 作为一种基于网络的入侵检测系统，RG-IDS依赖于一个或多个传感器监测网络数据流。这些传感器代表着RG-IDS的眼睛。因此，传感器在某些重要位置的部署对于RG-IDS能否发挥作用至关重要。;由于学校的校园网采用交换式网络，并且校园网使用的交换机支持端口镜像的功能，因此张老师决定在在不改变原有网络拓扑结构的基础上完成传感器的部署，部署拓扑图如图所示。;;实践操作 ;1.配置传感器;1.配置传感器;1.配置传感器;1.配置传感器;1.配置传感器;2．安装LogServer ;2．安装LogServer ;2．安装LogServer ;3．安装事件收集服务器 ;3．安装事件收集服务器 ;3．安装事件收集服务器 ;3．安装事件收集服务器 ;4．安装控制台 ;5．启动应用服务 ;6．启动和配置管理控制台 ;7．安装报表 ;8．登录和查看报表 ;8．登录和查看报表 ;9．数据库维护 ;9．数据库维护 ;10. 对网络内部主机进行入侵检测;;;;;;;;;;;;;;;