IDS配置方法及步骤

以天融信公司的网络卫士入侵检测系统（TopSentry）为例，对IDS的配置进行介绍。图6-47为TopSentry示意图。

其产品特点如下。

（1）增强的多重入侵检测技术

①网络卫士IDS综合使用误用检测、异常检测、智能协议分析、会话状态分析、实时关联检测等多种入侵检测技术，大大提高了准确度，减少了漏报、误报现象。

图6-47 TopSentry

②网络卫士IDS建立了完备的异常统计分析模型，用户还可以根据实际网络环境适当地调整相关参数，可更加准确地检测到行为异常攻击。并且，基于内置的强大的协议解码器，网络卫士IDS能够检测到各种违背RFC协议规范的协议异常攻击。

③有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的，因为攻击行为包含在多个请求中。加入状态特性分析，即不仅仅检测单一的连接请求或响应，而是将一个会话的所有流量作为一个整体来考虑。网络卫士IDS能够维护完整的会话列表，并实时跟踪会话状态。通过重组网络数据包、监控并分析会话状态，在有效地防止IDS规避攻击的同时，不仅可以减少误报和漏报，而且可以大大提高检测性能。

④天融信网络卫士安全管理系统（TSM）采用基于状态机的实时关联检测技术，对网络卫士IDS的报警事件和其他事件进行关联分析，有效地提高了IDS检测的准确率。

⑤内置2800种以上入侵规则，提供对DoS、扫描、代码攻击、病毒、“后门”等各种攻击的检测能力。

（2）强大的“蠕虫”病毒检测能力

实时跟踪当前最新的“蠕虫”病毒事件，针对当前已经发现的“蠕虫”攻击及时提供相关事件规则。对于存在系统漏洞但尚未发现相关“蠕虫”事件的情况，通过分析漏洞来提供相关的入侵事件规则，最大限度地解决“蠕虫”病毒发现滞后的问题。

（3）强大的报文回放能力

能够完整记录多种应用协议（HTTP、FTP、SMTP、POP3、Telnet等）的内容，并按照相应的协议格式进行回放，清楚再现入侵者的攻击过程，重现内部网络资源滥用时泄漏的保密信息内容。

（4）丰富的响应方式

1）控制台响应。

①报警：包括控制台报警、报警器报警、报警灯报警、焦点窗口报警、声音报警、邮件报警、手机短信报警等。

②日志保存：将日志保存在本地数据库或者远程数据库中。

2）引擎响应。

①报警：向控制台发送报警信息，如邮件报警、手机短信报警、报警器报警、SNMP报警、自定义程序报警等。

②联动：防火墙、路由器联动等。

③阻断：引擎主动阻断。

（5）方便、灵活的策略编辑器

内置多种策略模板，用户可根据实际网络环境灵活选择、应用。策略编辑器简单、易用，便于管理员制定各种安全策略。内置强大的协议解码器，用户可以灵活地自定义各种入侵规则，具有极强的扩展性。

（6）灵活的部署方式

支持控制台、引擎分离的分布式部署方式。不仅支持基于Hub的共享环境、基于交换机镜像功能的交换环境，而且还支持基于专用的流量分流设备（TAP）的部署方案。

（7）多层次、分级管理

①引擎管理：产品构架为基于C/S模式的控制台与检测引擎分离的结构。在控制台可以对引擎进行详尽的配置，同时向引擎分发升级更新文件，并可以控制引擎停止、重启等。

②数据库管理：支持多种数据库，包括本地ACCESS数据库、外挂SQL Server数据库。可以对数据库日志进行备份、删除、压缩和恢复操作。

③策略管理：内置了多种策略模板，在策略模板基础上，用户可以添加新的策略集，并可以对具体策略项进行编辑处理。同时，支持策略集的导出和导入，便于控制台的迁移。

④升级管理：支持对事件特征库和系统的在线升级、文件包升级等升级方式，保证事件特征库和系统及时更新。

【实现过程】

1.基本配置

（1）登录

“登录”对话框，如图6-48所示。

（2）服务管理

图6-49所示的是“服务管理”窗口，其中的服务介绍如下。

图6-48 登录

图6-49 “服务管理”窗口

①网络卫士入侵检测系统入侵日志处理器（NGIDSIdLog）：服务运行时，它将自动从引擎接收入侵日志。

②网络卫士入侵检测系统网络流量处理器（NGIDSNwStat）：服务运行时，它将自动从引擎接收流量日志。

（3）查看入侵检测日志

单击如图6-50所示的“入侵检测日志”窗口中工具栏中的图标，可实时显示引擎检测到的事件。单击“实时事件”选项卡，可显示指定数量的事件。

图6-50 “入侵检测日志”窗口

（4）查看监控日志(www.xing528.com)

单击工具栏中的图标，可以查看监控日志，如图6-51所示。

图6-51 “监控日志”窗口

（5）查看邮件监控日志

单击工具栏中的图标，可显示POP3，SMTP，IMAP，Web Mail等协议的邮件监控日志，如图6-52所示。

图6-52 “邮件监控日志”窗口

（6）查看Messenger监控日志

单击工具栏中的图标，可显示Messenger监控（MSN）相关日志，如图6-53所示。

图6-53 “Messenger监控”窗口

（7）查看文件传输日志

单击工具栏中的图标，可显示通过FTP传输文件的日志，如图6-54所示。

图6-54 “文件传输”日志窗口

（8）入侵检测统计

单击工具栏中的图标，可显示入侵检测统计，按风险级别、事件类型显示入侵检测日志统计，如图6-55所示。

图6-55 “入侵检测统计”界面

2.高级配置

（1）自定义事件

打开“策略编辑器”，单击“事件”选项卡，然后选择“组”→“自定义”选项，如图6-56所示，单击“添加”按钮继续。

图6-56 “策略编辑器”窗口

出现“事件属性”对话框，如图6-57所示，用户通过此对话框定义自定义事件的属性。

图6-57 “事件属性”对话框

（2）实现防火墙联动

1）单击“引擎”菜单中的“引擎控制”，然后单击“防火墙联动证书”按钮，弹出一个要求发送防火墙联动证书的对话框，在“证书路径”下的文本框中输入防火墙生成的联动证书文件的地址（如D：\Key_file_ids），如图6-58所示。

图6-58 发送防火墙联动证书

2）单击“策略编辑器”中的“响应”按钮，打开如图6-59所示的“响应”对话框，选择列表框中的“天融信防火墙”，然后单击“编辑”按钮，出现如图6-60所示的“响应属性”对话框。

图6-59 “响应”对话框

图6-60 “响应属性”对话框

设置防火墙的“对象属性”，输入防火墙的IP地址和密钥文件名，如图6-61所示。

图6-62是对防火墙的响应方式进行设置。

图6-61 “对象属性”对话框

图6-62 “响应方式属性”对话框

3）设置“策略”。“策略属性”对话框，如图6-63所示。

在“策略编辑器”中，针对需要防火墙阻断的事件，选择防火墙的响应方式，即可对相应的事件实现防火墙阻断。

图6-63 “策略属性”对话框