任务三:企业网络安全预
警
任务目标
掌握入侵检测系统的网络部署、
安装、测试及配置方法
掌握入侵检测系统与防火墙的联
动配置方法
任务引入2-1
在计算机安全的发展中,信息系
统安全模型在逐步的实践中发生
变化。由一开始的静态的系统安
全模型逐渐过渡到动态的安全模
型,如P2DR模型。P2DR表示
Policy、Protection、
Detection和Response,即策
略、保护、检测和响应
任务引入2-2
P2DR模型是在整体的安全策略
的控制和指导下,综合运用防护
工具(如防火墙、身份认证、加
密等)的同时,利用检测工具
(如漏洞评估、入侵检测系统等)
了解和评估系统的安全状态,通
过适当的响应将系统调整到一个
比较安全的状态。保护、检测和
响应组成了一个完整的、动态的
安全循环。由此可见,检测已经
是系统安全模型中非常重要的一
部分
任务分析
安全策略 实施方法 相关知识
制定安全预警策略 制定策略,选择
技术与产品
网络安全检测
技术
定期检测系统脆弱
性
使用漏洞扫描工
具评估
漏洞扫描
实时监控网络行为 部署监控产品
设置规则与策略
IDS、IPS、
病毒预警系统
…… …… ……
相关知识
入侵检测技术
入侵检测的部署
入侵检测技术3-1
入侵检测的定义
入侵检测是指在特定的网络环境
中发现和识别未经授权的或恶意
的攻击和入侵,并对此做出反映
的过程
入侵检测系统IDS(Intrusion
Detection System)是一套运
用入侵检测技术对计算机或网络
资源进行实时检测的系统工具。
IDS一方面检测未经授权的对象
对系统的入侵,另一方面还监视
授权对象对系统资源的非法操作
入侵检测技术3-2
入侵检测的作用
监视、分析用户和系统的运行状
况,查找非法用户和合法用户的
越权操作
检测系统配置的正确性和安全漏
洞,并提示管理员修补漏洞
对用户非正常活动的统计分析,
发现攻击行为的规律
检查系统程序和数据的一致性和
正确性
能够实时地对检测到的攻击行为
进行响应
入侵检测技术3-3
入侵检测的意义
单纯的防护技术容易导致系统的
盲目建设,一方面是不了解安全
威胁的严峻和当前的安全现状;
另一方面是安全投入过大而又没
有真正抓住安全的关键环节,导
致资源浪费
防火墙策略有明显的局限性
静态安全措施不足以保护安全对
象属性。
而入侵检测系统在动态安全模型
中占有重要的地位
入侵检测的部署4-1
共享网络
共享式局域网是最简单的网络,
它由共享式HUB连接各个主机。
在这种网络环境下,一般来说,
只需要配置一个网络探测器就可
以达到监控全网的目的
墙前监听和墙后监听
安装两个在防火墙的前段和后端,
随时监视数据包的情况,可以保
护防火墙
入侵检测的部署4-2
交换机具备管理功能(端口镜像)
使用交换机(Switch)作为网络
中心交换设备的网络即为交换式
网络。交换机工作在OSI模型的
数据链接层,交换机各端口之间
能有效地分隔冲突域,由交换机
连接的网络会将整个网络分隔成
很多小的网域。大多数三层或三
层以上交换机以及一部分二层交
换机都具备端口镜像功能,当网
络中的交换机具备此功能时,可
在交换机上配置好端口镜像(关
于交换机镜像端口),再将主机
连接到镜像端口即可,此时可以
捕获整个网络中所有的数据通讯
入侵检测的部署4-3
代理服务器
在代理服务器上安装入侵检测就
可以监听整个网络数据
DMZ区
将入侵检测部署在DMZ区对外网
络节点上进行监控
入侵检测的部署4-4
交换机不具备管理功能
一般简易型的交换机不具备管理
功能,不能通过端口镜像来实现
网络的监控分析。如果中心交换
或网段交换没有端口镜像功能,
一般可采取串接集线器(Hub)
或分接器(Tap)的方法进行部
署
实施过程
入侵检测的部署、安装及
配置
防火墙与入侵检测联动预
警
入侵检测的部署、安
装及配置2-1
训练目的
掌握入侵检测系统的网络部署、
安装、测试及配置方法
训练步骤
入侵检测系统的部署
入侵检测的物理安装
入侵检测的软件安装
入侵检测系统探测器超级终端配
置
入侵检测的部署、安
装及配置2-2
训练目的
掌握入侵检测系统的网络部署、
安装、测试及配置方法
训练步骤
入侵检测系统探测器系统配置
控制台系统配置
入侵检测数据库系统的配置
配置探头
策略配置
防火墙与入侵检测联
动预警
训练目的
掌握入侵检测系统与防火墙的联
动配置方法
训练步骤
生成防火墙和IDS的通讯密钥
联想网御IDS与防火墙联动证书
上传到防火墙
网御IDS与防火墙联动IDS端配
置——联想网御IDS与防火墙联
动证书上传给IDS探测引擎
网御IDS与防火墙联动IDS端配
置——策略编辑及应用
