防火墙、入侵检测系统与整体安全策略.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 配置信任主机 配置信任主机，即允许哪些网段或主机访问IPS，访问方式包括Telnet、FTP、SSH和HTTP sensor# conf terminal sensor(config)# service host sensor(config-hos)# network-settings sensor(config-hos-net)# access-list /24 sensor(config-hos-net)# telnet-option enabled sensor(config-hos-net)# exit sensor(config-hos)# exit Apply Changes:?[yes]: sensor(config)# 允许/24网段中的主机通过Telnet访问IPS 配置IPS设备管理器（IDM） 首先在管理主机上安装Java虚拟机，然后启用Java控制面板，配置Java Runtime参数 设置内存为256M 配置IPS设备管理器（IDM） 然后在IE浏览器中输入0，按提示输入用户名和密码 配置IDM用户 IPS支持四种用户角色，用户角色决定用户的权限级别 管理员（Administrator）：该用户角色拥有最高的权限等级，能执行传感器上的所有功能 操作员（Operator）：该用户角色拥有第2高的权限等级，能执行如修改密码、更改特征库、配置虚拟传感器等有限功能 观察员（Viewer）：该用户角色的权限等级最低，可以查看配置和事件，但是不能修改配置 服务（Service）：该用户角色属于特殊账号，主要用于技术支持和故障诊断 配置传感接口 传感接口也称嗅探接口，是用于监控和分析网络流量的特定接口，该接口没有IP地址 传感接口可以运行在混杂模式，也可以配置为在线模式 混杂模式 通常称为IDS解决方案，传感器只会分析镜像备份过来的流量 在线（Inline）模式 接口可以配置为接口对模式或VLAN对模式 接口对（Interface Pairs）模式 流量通过传感器的第1个接口对进入并从第2个接口对流出 两个接口必须分别属于不同的VLAN，但属于同一个IP子网 VLAN 10 VLAN 20 G0/1 G0/2 同一个IP子网/24 配置接口对 VLAN对（VLAN Pairs）模式 创建子接口，流量进入到VLAN 10后被检测，并在相同的物理接口将带有VLAN 20标记的流量发送出去 VLAN 10 VLAN 20 G0/1 F0/1 Trunk 配置VLAN对 配置旁路（Bypass）模式 IPS 的旁路模式只工作在Inline模式，该模式有三个选项：on、off和auto Auto：传感器宕机时允许流量通过，传感器正常工作时就要对流量进行审查和分析，这是默认的模式 Off：禁止旁路模式，传感器宕机时就将流量丢弃 On：永远不对流量进行审查和分析 配置分析引擎 将接口分配给分析引擎 分析引擎从接口处获取数据包并对其进行分析，然后与定义好的签名进行比对，做出指定的动作 将接口对分配给默认虚拟传感器vs0 特征（Signature） 特征库和特征引擎是IPS解决方案架构的基础 特征是对攻击者进行基于网络的攻击时所呈现的网络流量模式的描述 当检测到恶意行为时，IPS通过将流量与具体特征比对，监控网络流量并生成警报 特征引擎是相似特征的集合的一个分组，每个分组检测特定类型的行为 IPS的特征引擎分为很多种类 IPS的特征引擎 事件动作 当有特征匹配时，便会触发一个事件动作以防止状况发生，每个事件动作可由单独的特征库配置 IPS的事件动作 Deny attacker Inline:拒绝攻击者的ip地址 Deny attacker Service Pair inline:以攻击者的地址和被攻击者的服务端口为拒绝对象 Deny attacker Victim Pair inline: 以攻击者和受害者地址为拒绝对象 Deny connection inline: 拒绝这个TCP流量的现在和将来的包 Deny packet inline:丢弃这个数据包 事件动作 当有特征匹配时，便会触发一个事件动作以防止状况发生，每个事件动作可由单独的特征库配置 IPS的事件动作 Log Attacker Packets: 记录攻击者地址 Log Pair Packets: 记录攻击和受害者地址 Log Victim Packets: 记录受害者地址 Produce Ale