IDS培训教材V1.01.ppt

附加说明 此版本的培训教材适用于联想IDSN100/800/3000/5000系列 建议培训时间：一天，包括练习时间和讲课时间，请培训讲师自行决定讲演速度。 配合“技术白皮书之防火墙联动”，课时可扩展为一天半，另外半天时间做联动试验。 目录 1、入侵检测系统在网络中的部署 2、联想网御IDS的结构、功能特点 3、联想网御IDS的安装(控制台和探测器) 4、联想网御IDS的策略配置 5、日志数据库的维护 6、规则库升级 7、制作报告 入侵检测系统的部署（原则） 理解网络拓扑 理解需求（哪些信息流需要检测） 得出可行的接入点和接入方式 能否优化 优先1 不改变现有拓扑 优先2 Sensor和Console间通信的可靠 优先3 避免对冗余流量的分析 入侵检测系统部署（实例） 入侵检测系统如何部署到网络中？需要多少个探测器，才能对网络进行完善的保护？ Some tips 问题：防火墙被外部扫描，但入侵检测系统却没有报警。 回答：正常，扫描防火墙的数据包，不可能被入侵检测系统检测到，除非入侵检测系统放置在防火墙外边。这样，所有来自外部的攻击包都能检测到。（ids只能检测到通过其被监听端口的数据包） 部署模式 共享模式 部署模式 交换模式 部署模式 隐蔽模式（带外管理） Exercise 1 部署如下拓扑的IDS，使得使用最少的IDS探测器，监视全部网段。 目录 1、入侵检测系统在网络中的部署 2、联想网御IDS的结构、功能特点 3、联想网御IDS的安装(控制台和探测器) 4、联想网御IDS的策略配置 5、日志数据库的维护 6、规则库升级 7、制作报告 联想网御IDS的结构和功能 结构 基于C/S模式  网御IDS的功能介绍 检测与分析功能 告警与响应功能 报表与审计功能 自身安全性功能 管理与配置功能 规则升级与技术支持 网御入侵检测产品介绍 自身安全性高 联想网御入侵检测系统隐藏了自身探测IP从而避开黑客对入侵检测系统的直接攻击 联想网御入侵检测系统的探测器和管理控制台之间采用基于公用密钥的认证及SSL加密通讯，确保了认证及事件传输的安全 系统在启动时自动执行完整性检查，使得系统安全得到了进一步的增强 网御IDS的产品特点介绍 碎片重组功能 有一些攻击行为会以IP碎片的方式进行。如果不能对以碎片的形式传播的数据进行很好的重组，就不可能对整个网络中的行为进行完整的监测。 另外，还有基于IP碎片的欺骗攻击。攻击者发送大量IP碎片包来达到阻塞IDS的目的，网御IDS可以分辨出这种异常的分片。 网御入侵检测产品介绍 网御入侵检测产品介绍 与其他安全产品的协同工作 可以很好的与多家防火墙进行联动 向SNMP系统传递IDS报警日志 网御IDS的产品特点介绍 灵活的管理控制方式 管理控制台与探测器的连接方式可以灵活设置： 注：虚线表示可以有也可以没有 网御IDS的产品特点介绍 庞大的入侵检测规则库 联想网御入侵检测系统的检测规则库由国家反计算机入侵和防病毒研究中心与联想公司合作建设。依托联想公司和国家反计算机入侵和防病毒研究中心强大的资源投入，保证了检测规则库的权威性和时效性 联想网御入侵检测系统目前拥有1,600多种入侵探测攻击特征（Signature），可以探测所有已知的入侵，并做出响应；此外，用户还可自定义新的攻击特征（Signature），并对此进行探测及设置响应策略 可供选择的在线/离线两种类型的升级方式，还可以定制进行自动升级 网御IDS的产品特点介绍 内容丰富的报表系统 网御IDS对所记录的日志进行综合分析，为用户提供审计分析报告，报告的内容包括以下几方面： 入侵检测日志报告 系统审计日志报告 统计报告（表格/图形） 系统设置信息报告 网御IDS的产品特点介绍 实时监控网络流量 能以数据包/字节为基准的方式对网络层/IP服务的流量进行实时 的监测。还能对数据包大小进行统计。 除了对流量的监测外，还提供了对这些数据的均值计算，能够得出到当前为止的平均数据包大小和平均数据处理量。 网御IDS的产品特点介绍 完善的日志库管理 网御IDS的日志分为入侵检测日志和系统审计日志。入侵检测日志记录的是探测器发现的网络行为，系统审计日志记录的是系统本身的操作行为。 除了在界面上可以实时看到日志外，系统还提供了日志检索工具，可以根据用户的需要，按照特定的条件对日志进行快速的检索，而不需要在报表系统中查询。 网御IDS的产品特点介绍 多种多样的响应方式 网御IDS提供的响应方式分为两种： 被动响应： 报警（报警信息、声音报警、弹出窗口） 记录日志 E-MAIL