-IDS需求分析和方案设计.pptx

1、信息安全产品配置与应用Configuration and Application of Information Security Products路亚信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇本讲主要内容信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇需求分析的基本过程了解分析确定信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇需求分析需求分析需求分析 是整个活动中非常关键的一个环节，错误的分析，会导致后期工作无法开展 了解现状了解现状 信息系统情况 网络使用情况 明显存在的问题 分析现状分析现状 信息系

2、统的重要性及对网络的依赖性 网络的可靠性 发生风险事件时的影响范围和破坏程度 确定需求确定需求 确定用户的真实需求 确定网络安全建设目标信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇需求分析了解现状如何去了解现状？交流、沟通交流什么？沟通什么？是否发生过网络安全事件？要信息系统应用及范围？网络拓扑情况？目前采取了什么样的网络安全防护手段？有什么网络安全规划？今后的信息系统扩展可能会如何？信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇需求分析分析现状前提了解到的现状，准确了解到的需求准确分析分析现状情况下，存在的网络安全风险分析风险发生

3、时，可能带来的破坏情况分析如何通过部署网络安全设备，处置上述风险分析部署网络安全设备后的效果分析扩展性和延续性信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇需求分析了解、分析、确定 了解现状、分析现状，实际并没有那么明确的界限，一般是在与客户沟通过程中，穿插进行的。在完成语言的交流后，根据需要进一步以书面方式提交相关报告在完成现状了解、分析后，需求与目标的确定就自然而然的确定了信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇需求分析举例信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇该公司的web服务器将会对

4、互联网用户开放；公司的核心数据均采用网络方式传输，并存储于主机硬盘上；公司对网络安全的依赖性极大，一旦网络或计算机发生故障，可能会严重影响公司的业务；网络规划得在不影响网络速度的前提下才行。需求分析了解、分析信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇定制一个针对企业目前网络及应用适用的网络安全方案；可以实现对服务器和内网区域的监控；可以对内部服务器进行独立的保护；设备的产应采用最新技术，产品应具有延续性，至少保证3年的产品升级延续。需求分析确定目标信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇需求分析方案设计方案评审方案评审方案评

5、审：对提交的方案进行分析、审核，是否可以满足需求分析中确定的目标.（客户或专家评审）方案设计方案设计：根据需求分析与目标，设计可以满足要求的网络安全解决方案.需求分析需求分析：根据了解到的现状，分析切实可行的需求.信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇方案设计入侵检测通过抓取网络上的所有报文，分析处理后，报告异常和重要的数据模式和行为模式，使网络安全管理员清楚地了解网络上发生的事件，并能够采取行动阻止可能的破坏。入侵检测系统在网络连接过程中通过实时监测网络中的各种数据，并与自己的入侵规则库进行匹配判断，一旦发现入侵迹象立即响应/报警，从而完成整个实时监测。

6、又通过安全审计将历史事件一一记录下来，作为证据和为实施数据恢复做准备。通过入侵检测与防火墙的联动进行阻断攻击行为。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇方案设计入侵检测通过串联到网络中，监控整个内网区域和服务器区域；入侵检测通过和防火墙进行联动，保护整个服务器区域免受攻击影响。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇方案设计举例信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇设计方案编写 Word使用能力 PPT使用能力 Visio使用能力 信息安全产品配置与应用信息安全产品配置与应用课程之入

7、侵检测篇课程之入侵检测篇防火墙部署设计方案目录展示信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇防火墙部署设计方案展示方案展示（使用成功方案案例）信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇本讲主要内容信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇配置策略设计可以不用文字形式表现出来，可以在头脑中策划；是不可跳过的一个步骤，不了解入侵检测具体的部署、配置策略，如何进行下一步的入侵检测配置？（没有乐谱，如何弹奏）部署、策略设计与网

8、络环境、应用情况关系密切，必须确认真实、准确的入侵检测部署与需要实现的功能要求；入侵检测与防火墙的联动进行配置，涉及到 联动证书的配置。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇配置策略设计入侵检测接口接口名称接口IP地址对端设备备注管理口192.168.1.250交换机内网区域VLAN接口与IDS客户端通信使用监控口无IP地址交换机镜像端口服务器和内网区域所有接口都要镜像COM口无IP地址入侵检测配置主机配置主机通过com口对IDS进行配置信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS通过监控口监控网络中的所有区域；IDS

9、通过与网关防火墙进行联动保护服务器免受攻击；（因为IDS是串联到网络中去的，它的部署上线不会影响网络正常的运行，所以我们可以先将IDS部署好后再进行IDS的策略配置）配置策略设计入侵检测策略配置信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS部署配置实践-IDS引擎配置PC串口线接COM口1.用串口线把管理机和IDS的COM口 连接起来；信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇2.在管理机上打开超级终端，进行IDS引擎的配置；（默认用户名：admin；密码：talent）IDS部署配置实践-IDS引擎配置信息安全产品配置与应

10、用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇 此时我们先对IDS引擎进行管理口的配置3.选择“系统管理”“网络配置”“IP配置”,然后配置管理口的ip地址，子网掩码，网关。IDS部署配置实践-IDS引擎配置信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS部署配置实践-IDS引擎配置 管理口配置好了之后，我们就进行IDS的监听口的配置4.返回主界面，选择“引擎管理”“引擎控制”编辑当前配置”“探头配置”。将“监听网卡”选择为所需要的抓包口，“响应网卡”选择为上面配置的管理口接口。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检

11、测篇 监听口和控制口都配置好了，就可以将IDS引擎上线了。监听口接交换机的镜像端，控制口接IDS管理主机（本案例中我们接到核心交换机的内外区域VLAN上任意一个接口上，只要与IDS管理中心路由可达即可）。以上就完成了IDS引擎的操作，接下来我们介绍IDS控制主机的安装方法。信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇在管理主机上安装、配置IDS客户端：1.安装客户端；IDS部署配置实践-IDS管理中心配置信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇2.登陆客户端，进行配置；（默认用户名：admin，密码：talent）IDS部署配

12、置实践-IDS管理中心配置信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇探头配置：选择“资产”“引擎”，单击“添加”按钮，进行探头配置；名称”和“组”自己填写，ip地址填入IDS控制口的ip，端口用默认的2002，“类型”选择自动获取，如果获取不成功，查看IDS的控制口与管理机之间链接是否正常，能否ping通，再看ip地址是否填写正确；“策略”选择自动刷新探头，刷新出来后给这个探头分配策略。（因为我们要监控整个网络所有这里的探头策略我们选择默认策略就可以了，也可以根据需要自定义策略，我们将在后一章节详细介绍）IDS部署配置实践-IDS管理中心配置信息安全产品配置与

13、应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇探头配置好后，单击“确定”保存，然后就可以将刚才所选的配置下发到IDS引擎上了。单击“同步”，依顺序选择“下发策略”，“应用策略”。IDS部署配置实践-IDS管理中心配置信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇 这样IDS管理中心就基本配置完成了，大家可以在实时和历史事件中看到数据。IDS部署配置实践-IDS管理中心配置信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇IDS部署配置实践-IDS管理中

14、心配置点击引擎菜单中的引擎控制，打开防火墙联动证书窗口，导入防火墙生成的联动证书文件Key_file_ids应用；点击策略编辑器中的响应按钮，打开响应对话框，编辑“天融信防火墙”属性；用户可以对其响应属性进行修改。点击对话框中的“天融信防火墙”，在响应对话中会出现“天融信防火墙”，点击出现右边对话框中的响应方式；双击编辑天融信防火墙的对象属性，输入防火墙的IP地址和密钥文件名；双击右边对话框编辑响应对象属性。管理员可在下面的窗口中对天融信防火墙的响应方式进行设置；在策略编辑器中针对需要防火墙阻断的事件，选择天融信防火墙的响应方式，即可对相应的事件实现防火墙阻断。（“策略”中选择该事件，然后在右边对话框中点击“添加”）因为要将IDS与防火墙进行联动，我们需要在客户的防火墙上导出联动证书。IDS配置步骤如下：信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇更多实践案例参考演示配置手册上机实践信息安全产品配置与应用信息安全产品配置与应用课程之入侵检测篇课程之入侵检测篇本讲主要内容