实验十三 IDS设备部署与配置.docVIP

实验十三 IDS设备部署与配置 【实验名称】 IDS设备部署与配置 【计划学时】 2学时 【实验目的】 熟悉IDS设备的部署方式 掌握设备的连接和简单设置 【基本原理】 一、IDS的4种部署方式 镜像口监听 镜像口监听部署模式是最简单方便的一种部署方式，不会影响原有网络拓扑结构。在这种部署方式中，把NIDS设备连接到交换机镜像口网络后，只需对入侵检测规则进行勾选启动，无需对自带的防火墙进行设置，无需另外安装专门的服务器和客户端管理软件，用户使用普通的Web浏览器即可实现对NIDS的管理（包括规则配置、日志查询、统计分析等），大大降低了部署成本和安装使用难度，增加了部署灵活性。 部署方式如下图所示： NAT模式（可充当防火墙） NAT模式是将蓝盾NIDS设备作为防护型网关部署在网络出口位置，适合于没有防火墙等防护设备的网络。在这种部署方式中，蓝盾NIDS设备可同时作为防火墙设备、防DDoS攻击网关使用，可有效利用内置的防火墙进行有效入侵防御联动。NAT部署采取串联方式部署在主交换机前面，需要对网络拓扑结构进行改造，需要对蓝盾NIDS设备的自带防火墙进行规则设置及内外线连接设置，以达到多重防御的效果。用户通过Web浏览器可实现对NIDS的全面管理（包括规则配置、日志查询、统计分析等）。 部署方式如下图所示： 透明桥模式 透明桥模式是将蓝盾NIDS设备作为透明设备串接在网络中。这样既可以有效利用到蓝盾NIDS的各项功能，也可以不必改变原有网络拓扑结构。在这种部署方式中，蓝盾NIDS设备可同时作为防火墙设备、防DDoS攻击网关使用，可以利用内置的防火墙进行有效入侵防御联动。用户通过Web浏览器可实现对NIDS的全面管理（包括规则配置、日志查询、统计分析等）。通常可以透明方式部署在DMZ区域，可将NIDS作为第二道防护网保护服务组群。 部署方式如下图所示： 混合模式 混合模式是应用以上三种模式的任意组合将蓝盾NIDS设备部署在较复杂网络。例如，可以通过一个网口监听某个工作区域子网，通过一对网口透明部署在DMZ区域，一对网口作为NAT防火墙保护另一个重点工作区域，同时对多个网络区域进行保护。用户通过Web浏览器可实现对NIDS的全面管理（包括规则配置、日志查询、统计分析等）。 部署方式如下图所示： 二 连接及设置 1 连接设备 下图以镜像口监听模式为例，显示如何连接蓝盾NIDS设备。 2 网口出厂配置 蓝盾NIDS设备提供的以太网接口主要有两种类型：管理口和业务口。管理口的以太网接口有IP地址（出厂设置为45）“管理网络”。用户通过管理网络内的终端计算机可以访问设备管理口，对系统进行管理和配置。 业务口可配置为镜像口监听模式、透明桥模式、网关NAT模式或者混杂模式。业务口主要用于捕获网络协议报文进行检测分析，是入侵检测系统“业务”的来源。 3各网口的出厂设置如下： 网口编号 出厂配置 IP地址 备注 LAN1(E1) 管理网口 45 电口 LAN2(E2) 业务口（监听模式） 无 电口，可配置为NAT、透明桥模式 LAN3(E3) 业务口（监听模式） 无 电口，可配置为NAT、透明桥模式 LAN4(E4) 业务口（监听模式） 无 电口，可配置为NAT、透明桥模式 除了默认管理LAN1网口外，其余网口的设置均可在界面进行重新配置。例如，用户可以将LAN3、LAN4网口配置为透明桥。 4 登录管理界面 从管理PC登录蓝盾NIDS设备Web管理界面前，需要确认管理PC的IP地址与设备缺省管理口IP地址设置在同一网段：/24。透过网线或独立交换机（非业务交换机）将管理PC连接到LAN1口，打开IE浏览器，在IE地址栏输入45 ,便可登录到蓝盾NIDS设备的web管理界面。初始用户名为“admin”，密码为“888888”。登录后出现主界面如图所示： 注意： 蓝盾NIDS设备前面板上标志为LAN1的以太网口为系统缺省管理口，缺省IP地址45。如此默认IP地址与用户网络IP地址无冲突，建议用户使用此默认IP地址。如果确实有需要更改管理口IP地址，则在下次启动时需要使用更改后的IP地址登录。 基于系统安全考虑，管理系统同一时间内只允许1个同名的用户登录。用户可设置多个用户帐号，为不同用户分配不同操作权限进行管理 5、网络配置前的准备 出厂配置已经有定义好的管理口、监听口。建议尽量使用出厂配置模式。如果出厂配置不满足实际网络需求，才进行合理调整。 网络配置前，请先确定网络的拓扑结构和连接方式(旁路、透明、NAT、混合)，并定义好使用的网口，以免配置过程中造成混乱。 如需要添加桥或NAT的外线接口，首先需要删除默认选项的监听网口。例如，删除LAN3、LAN4镜像口，释放网口LAN3、LAN4。否则在透明桥接口或者NAT网口选