实验十三IDS设备部署与配置.docx

实验十三 IDS设备部署与配置实验十三 IDS设备部署与配置 IDS设备部署与配置 2学时 1. 熟悉IDS设备的部署方式 2. 掌握设备的连接和简单设置 一、IDS的4种部署方式 1 镜像口监听 镜像口监听部署模式是最简单方便的一种部署方式，不会影响原有网络拓扑结构。在这种部署方式中，把NIDS设备连接到交换机镜像口网络后，只需对入侵检测规则进行勾选启动，无需对自带的防火墙进行设置，无需另外安装专门的服务器和客户端管理软件，用户使用普通的Web浏览器即可实现对NIDS的管理，大大降低了部署成本和安装使用难度，增加了部署灵活性。 部署方式如下图所示： Internet外部网络路由器防火墙主交换机镜像口蓝盾NIDS设备管理PCDMZ区内部网络2 NAT模式 NAT模式是将蓝盾NIDS设备作为防护型网关部署在网络出口位置，适合于没有防火墙等防护设备的网络。在这种部署方式中，蓝盾NIDS设备可同时作为防火墙设备、防DDoS攻击网关使用，可有效利用内置的防火墙进行有效入侵防御联动。NAT部署采取串联方式部署在主交换机前面，需要对网络拓扑结构进行改造，需要对蓝盾NIDS设备的自带防火墙进行规则设置及内外线连接设置，以达到多重防御的效果。用户通过Web浏览器可实现对NIDS的全面管理。 部署方式如下图所示： Internet外部网络路由器蓝盾NIDS设备(兼防火墙、DDOS防护墙）主交换机管理PCDMZ区内部网络3 透明桥模式 透明桥模式是将蓝盾NIDS设备作为透明设备串接在网络中。这样既可以有效利用到蓝盾NIDS的各项功能，也可以不必改变原有网络拓扑结构。在这种部署方式中，蓝盾NIDS设备可同时作为防火墙设备、防DDoS攻击网关使用，可以利用内置的防火墙进行有效入侵防御联动。用户通过Web浏览器可实现对NIDS的全面管理。通常可以透明方式部署在DMZ区域，可将NIDS作为第二道防护网保护服务组群。 部署方式如下图所示： Internet外部网络路由器防火墙蓝盾NIDS设备主交换机管理PCDMZ区内部网络4 混合模式 混合模式是应用以上三种模式的任意组合将蓝盾NIDS设备部署在较复杂网络。例如，可以通过一个网口监听某个工作区域子网，通过一对网口透明部署在DMZ区域，一对网口作为NAT防火墙保护另一个重点工作区域，同时对多个网络区域进行保护。用户通过Web浏览器可实现对NIDS的全面管理。 部署方式如下图所示： Internet外部网络路由器接入层交换机防火墙镜像口监听蓝盾NIDS设备子网B子网A主交换机NAT接入层交换机管理PC透明接入层交换机DMZ区二 连接及设置 1 连接设备 下图以镜像口监听模式为例，显示如何连接蓝盾NIDS设备。 2 网口出厂配置 蓝盾NIDS设备提供的以太网接口主要有两种类型：管理口和业务口。管理口的以太网接口有IP地址，供设备管理流量和其它告警上报流量通过。连接到设备管理口的所有管理终端计算机组成的网络称为“管理网络”。用户通过管理网络内的终端计算机可以访问设备管理口，对系统进行管理和配置。 业务口可配置为镜像口监听模式、透明桥模式、网关NAT模式或者混杂模式。业务口主要用于捕获网络协议报文进行检测分析，是入侵检测系统“业务”的来源。 3各网口的出厂设置如下： 网口编号 出厂配置 LAN1(E1) LAN2(E2) LAN3(E3) LAN4(E4) 管理网口 IP地址 192.168.0.145 备注 电口 电口，可配置为NAT、透明桥模式 电口，可配置为NAT、透明桥模式 电口，可配置为NAT、透明桥模式 业务口 无 业务口 无 业务口 无 除了默认管理LAN1网口外，其余网口的设置均可在界面进行重新配置。例如，用户可以将LAN3、LAN4网口配置为透明桥。 4 登录管理界面 从管理PC登录蓝盾NIDS设备Web管理界面前，需要确认管理PC的IP地址与设备缺省管理口IP地址设置在同一网段：192.168.0.0/24。透过网线或独立交换机将管理PC连接到LAN1口，打开IE浏览器，在IE地址栏输入https:/192.168.0.145 ,便可登录到蓝盾NIDS设备的web管理界面。初始用户名为“admin”，密码为“888888”。登录后出现主界面如图所示： 注意： 蓝盾NIDS设备前面板上标志为LAN1的以太网口为系统缺省管理口，缺省IP地址192.168.0.145。如此默认IP地址与用户网络IP地址无冲突，建议用户使用此默认IP地址。如果确实有需要更改管理口IP地址，则在下次启动时需要使用更改后的IP地址登录。 基于系统安全考虑，管理系统同一时间内只允许1个同名的用户登录。用户可设置多个用户帐号，为不同用户分配不同操作权限进行管理5、网络配置前的准备 出厂配置已经有定义好的管理口、监听口。建议尽量使用出厂配置模式。如果出厂配置不满足实际网络需求，才进行合理调整。 网络配置前，请先确定网络的拓扑结构和连接方式(旁路、透明、NAT、混合)，并定义好使用的网口，以免配置过程中造成混乱。 如需要添加桥或NAT的外线接口，首先需要删除默认选项的监听网口。例如，删除LAN3、LAN4镜像口，释放网口LAN3、LAN4。否则在透明桥接口或者NAT网口选项中没有网口可供使用。 以镜像口监听的部署方式来进行实验配置。 INTERNET蓝盾防火墙192.168.228.254/24镜像口蓝盾NIDS客户机交换机LAN2口192.168.228.127/24网关：192.168.228.254一、IDS的初始配置。 1、 “网络设置”à“网口配置”à“网口”，将E2的LAN2的IP配置为192.168.228.127，点击保存，然后重启网络。 2、“系统”à“系统工具”à“IP工具”，直接ping 网关192.168.228.254检验与内网的连通性。 3、“系统”à“管理设置”à“管理界面访问设定”，网口选择LAN2，其余选项缺省，点击添加。 参数定义： 网口：wan设定、admin等端口 源IP或网络：某个固定IP地址或者网段是否能访问这些协议和网段。 备注：描述该规则用处。 注意：此项规则用于是否允许某个IP或者网段登录到管理界面 4、“现有规则”中新增一条通过LAN2访问IDS界面的策略。 5、“系统”à“管理设置”à“密码”，按下图配置管理员用户，不启用USBKEY。 下面就出现了一个超级管理员用户 6、可以增加低权限的用户，即是只允许浏览IDS，不允许进行操作，如下图所示： 下面就出现了一个新用户king，只有“查看日志”“实时报表”的权限 7、“系统”à“管理设置”à“用户安全设置”，以下配置是一种相对安全的配置方法。 参数定义： 登陆超时时间设置(秒)：就是超过这个时间将会锁定 登陆失败限制次数：就是登陆超过限制次数，将会将用户锁定 用户锁定时间(分)：将用户锁定多长时间，等过了这个时间后才可以重新登陆 密码最小长度：当密码长度不够时将不能建此用户 开启密码强度限制(强制为数字与字符组合)：输入密码时一定要提高密码的强度要数字+字符 以下为验证的结果： 当密码长度不够时将出现提示，不能建立新用户。 输入密码时一定要提高密码的强度，需要数字+字符。 登陆超过限制次数，系统会将用户锁定，1分钟后用户才能重新登陆。 8、“网络设置”à“镜像口设置”à“镜像设定”将LAN4口配置为镜像口，用于接收经过交换机的信息 下面“现有规则”中出现了一条镜像规则 注意：以下实验镜像模式下均采用此配置 本实验介绍了IDS设备的部署和配置，通过学习在镜像口监听模式下的IDS部署方式，了解IDS初始化配置及安全管理相关知识。