第3部分NIDS产品组件简介.ppt

NIDS产品组件的组成 NIDS产品组件的组成 NIDS产品组件的组成 协议：TCP 端口： EC与Sensor之间（1968、2003）； Console与EC(3002)； EC与LogServer(3003) 加密： Console和EC通讯采用SSL/RSA（128） 说明： Console和EC可以安装在一台PC上 控制台（Console） 控制台（Console） 控制台（console）是DCN IDS的控制和管理模块。它是一个基于Windows的应用程序，控制台提供图形用户界面来进行用户管理、数据查询、查看警报、配置管理传感器和LOGSERVER、配置管理NIDS的策略。控制台有很好的访问控制机制，不同的用户被授予不同级别的访问权限，允许或禁止查询数据、查看警报及管理配置等访问。控制台、事件收集器、LOGSERVER、传感器之间的所有通信都进行了安全加密。 控制台增加了多用户在线操作的功能，增强了用户管理的控制机制，优化了事件的显示统计，提高了组件配置管理的效率。 EventCollector（事件收集器） EventCollector（事件收集器） 包括AppServer和Sensor Adapter 主要功能包括：与console的消息交互，用户的集中认证及管理并针对用户对系统的操作作出相应审计，资产、策略管理，对sensor的数据进行收集统计。 EventCollector（事件收集器）Cont. EventCollector（事件收集器） 根据EC功能及数据流要求，将EC划分为如下八个功能模块及两个运行辅助模块： 功能模块： 消息管理：完成与console会话连接的维护及与console的消息交互接口功能。对console的消息作统一的分拣、权限检测、多用户的同步控制，最终交由各模块实体进行消息的具体处理；对于各模块产生的响应消息及通知消息由该模块实时通知console；并对超时消息作出处理； 用户管理：完成用户静态信息维护，对远端用户对本系统的操作作出权限控制，并根据用户的登陆信息维护在线用户数据； 审计管理：根据每个具有最终态消息及用户的审计规则对用户的系统的使用状况进行统一审计； 策略管理：完成策略静态数据的维护； 资产管理：完成资产配置信息维护、状态信息收集与诊断管理、资产配置的保留与恢复； 产品管理：完成产品包的升级以及产品许可证的管理； Sensor事件管理：完成网络事件的收集以及针对网络系统的统计分析、全局归并等功能； 事件分发管理：完成EC（除消息外）与外部的接口，负责将EC中相关信息的送往console、Database及外部响应接口；并在送往console的过程中则针对不同信息作Qos的控制； 运行辅助模块： 服务管理：控制整个应用的运行，动态读取系统配置分发到各个相关模块，负责应用的启动、停止的用户界面，处理与EC Controller的交互； 调试管理：调试管理运行日志负责收集系统各模块的运行记录，由个模块调用统一将日志记录到指定位置，方便以后的查询、调试。 EventCollector（事件收集器）Cont. EventCollector（事件收集器） EventCollector（事件收集器）Cont. EventCollector（事件收集器） 一个大型分布式应用中，用户希望能够通过单个控制台完全管理多个传感器，允许从一个中央点分发安全策略，或者把多个传感器上的数据合并到一个报告中去。用户可以通过安装一个事件收集器来实现集中管理传感器及其数据。事件收集器还可以控制传感器的启动和停止，收集传感器日志信息，并且把相应的策略发送传感器，以及管理用户权限、提供对用户操作的审计功能。 EventCollector不直接管理数据库，而是通过组件LOGSERVER来进行间接的数据操作，在提高数据库读写效率的同时，避免了数据库单点故障对EC的影响。 LogServer LogServer LogServer从某种意义上说是一个数据库管理控制台，它包含LogServer服务和DB（数据库）两部分。为了便于用户操作， LogServer管理控制台被集成在Console（控制台）上，用户可以通过Console直接管理DB。 EC和报表对数据库的操作请求都将指向 LOGSERVER，由LOGSERVER完成对数据库读、写和管理操作。 逻辑关系 LOGSERVER与EC、报表、查询工具的简单工作逻辑 Sensor（传感器） Sensor（传感器） 部署在需要保护的网段上，对网段上流过的数据流进行检测，识别攻击特征，报告可疑事件，阻止攻击事件的进一步发生或给予其它相应的响应。 Sensor将使用硬盘版的操作系统，增加了部分方便管理的功能设置，同时检测性能将有大幅的提高。