实验9入侵检测实验.pptVIP

IDS系统 * 入侵行为统计80%来自于网络内部。 入侵行为统计80%来自于网络内部。 还必须借助于一个“补救”环节——入侵检测系统。 * 入侵行为统计80%来自于网络内部。 入侵行为统计80%来自于网络内部。 还必须借助于一个“补救”环节——入侵检测系统。 * 防火墙是网络安全的基础 防火墙部署 路由 Nat 桥接 内外网管理 例子 * 问题：大型网络为什么分别部署路由器和防火墙？ 问题：为什么需要入侵检测？ 目录 1.入侵检测技术 2.IDS设备介绍 3.IDS的4种部署方式 4.IDS检测规则配置 5.实验要求 1.入侵检测技术 入侵检测(Intrusion Detection) 它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统(Intrusion Detection System，IDS) 软件 硬件 Snort、蓝盾、“冰之眼” 假如说防火墙是一幢大楼的门锁，那入侵监测系统就是这幢大楼里的监视系统。 Internet IDS 1 IDS 2 IDS 3 IDS 4 子网 A 子网 B 交换机 带主机IDS感应器的服务器 服务器 2.IDS设备介绍 用于蓝盾技术人员 ：管理和恢复出厂等操作使用 LAN 网口 ： 用于搭建网络 和管理系统。 不要想了啦 这是电源开关显示灯啦 IDS设备介绍 连接：https://172.16.X.2 组1和组2： 组3和组4： 组5和组6： 用户：user1-8防火墙 镜像口 规则 报表 镜像口监听部署模式是最简单方便的一种部署方式，不会影响原有网络拓扑结构。 3.IDS的4种部署方式 1、镜像口监听 拓扑 DCS-3950-28CT(config)#monitor session 1 source int ethernet0/0/1 both //配置被镜像口 DCS-3950-28CT(config)#monitor session 1 destination int ethernet 0/0/24 //配置镜像口 实验拓扑 3.IDS的4种部署方式 NAT模式是将蓝盾NIDS设备作为防护型网关部署在网络出口位置，适合于没有防火墙等防护设备的网络。 用户通过Web浏览器可实现对NIDS的全面管理（包括规则配置、日志查询、统计分析等）。 2. NAT模式（可充当防火墙） 透明桥模式是将蓝盾NIDS设备作为透明设备串接在网络中。这样既可以有效利用到蓝盾NIDS的各项功能，也可以不必改变原有网络拓扑结构。 3. 透明桥模式 混合模式是应用以上三种模式的任意组合将蓝盾NIDS设备部署在较复杂网络。 4. 混合模式 IDS的4种部署方式 4.IDS检测规则配置 IDS系统自带庞大的检测规则库，允许用户自定义规则。在检测入侵行为的过程中，IDS系统根据预先设定的检测规则进行信息的捕获，拆分，分析以及匹配。 IDS入侵检测规则配置 “入侵检测”-“检测规则”，该页面显示所有IDS系统自带检测规则 。 系统自带检测规则 IDS入侵检测规则配置 “入侵检测”-“检测规则”-“自定义规则”。自定义规则可以让用户自行定义入侵检测规则。 1、基础参数的设置选项： IDS入侵检测规则配置 对入侵数据流的中的特征码进行定义，以更准确地判断出入侵行为 2、关键字的设置选项： IDS入侵检测规则配置 如果在“协议”项目选择了“ip”协议，可以在这里设定关于改事件地更具体IP参数。 3、IP参数的设置选项： IDS入侵检测规则配置 如果在“协议”项目选择了“tcp”协议，可以在这里设定关于改事件地更具体TCP参数。 4、TCP参数的设置选项： IDS入侵检测规则配置 如果在“协议”项目选择了“icmp”协议，可以在这里设定关于改事件地更具体地ICMP参数。 5、ICMP参数的设置选项： IDS入侵检测规则配置 指对此入侵事件采取阻断动作。 6、阻断动作的设置选项： IDS入侵检测规则配置 7、设置好的自定义规则 IDS入侵检测规则配置 8、“入侵检测”-“检测规则”-“统计规则” 指的是对一段时间内重复出现的低级别事件进行统计综合报警。 5.实验要求 每位同学设置1条基于ICMP的规则，并验证。