NetEye-IDS-安全管理器

NetEyeIDS安全管理器使用指南东软软件股份有限公司使用指南3－1目标•配置IDS的安全策略•维护IDS的运行状况•检测网络中的入侵和攻击等行为•记录网络层访问•记录和跟踪应用层访问NetEyeIDS使用指南3－2安全管理器连接IDS•使用安全管理器连接IDS的用户必须具备“安全管理员”权限；NetEyeIDS使用指南3－3设置主控状态•当成功登陆后，可以将此管理主机设置为主控状态，它具有相当高的权限，能够修改IDS的策略配置、监控子网等等；•在同一时刻，只能有一台管理主机为主控状态；此时，其他非主控状态的管理主机“只能看，不能改”；NetEyeIDS使用指南3－4查看主控状态NetEyeIDS使用指南3－5解除主控状态NetEyeIDS使用指南3－6系统维护NetEyeIDS使用指南3－7系统维护•主机设置•系统配置•事件定义•策略设置•数据库操作…•系统相关信息…NetEyeIDS使用指南3－8主机设置•IDS的eth0为管理口；•监听模式：用户监听网络数据包的网卡，通常会使用eth1；•切断模式：切断非法网络连接的网卡；•当IDS的一些配置使用域名时，就会使用到DNS服务器，如：当报警邮件中的SMTP服务器地址配置为域名时；NetEyeIDS使用指南3－9系统配置－服务配置NetEyeIDS使用指南3－10系统配置－服务配置•未设置监听子网时，代表监听所有子网；可设置多个监听子网；如上图所示：监听192.168.1.1－192.168.1.254子网；•实时监控三种数据•网络审计：所有IP层的网络访问，包含IP、端口、流量等信息；•应用审计：指定的应用层的访问；•内容恢复：指定的应用层信息还原；企业为了保护员工的个人隐私等，可以不监控此类数据；•网络信息：收集网络中的主机信息；NetEyeIDS使用指南3－11系统配置－传输过滤•所有条件不设置，并选择所有的“不包含”时，代表监听所有的网络层访问；NetEyeIDS使用指南3－12系统配置－传输过滤•如上图所示：不会记录目标端口为25、80、110的网络行为，也就是：发送邮件、访问、接收邮件；NetEyeIDS使用指南3－13系统配置－应用协议NetEyeIDS使用指南3－14系统配置－应用协议•“应用协议”选项仅适用于应用审计、内容恢复；•“Others/TCP–HTTP”表示除指定端口按照相应协议恢复外，没有指定的端口数据均按HTTP协议恢复；对于其它应用协议，只有符合生效端口及传输协议设置的数据才按照相应的协议恢复；NetEyeIDS使用指南3－15系统配置－内容检测NetEyeIDS使用指南3－16系统配置－内容检测•“内容检测”选项仅适用于应用审计、内容恢复；•缺省策略：指定了那些除了关键字列表以外的内容所采取的操作；•如上图所示：“缺省策略”设置为“记录”，则内容恢复、应用审计中仅仅不记录“关键字列表”中策略为“丢弃”的会话信息；NetEyeIDS使用指南3－17系统配置－FTP服务器•启动自动备份时，每次进行增量备份，即：已备份过的数据不再执行备份；NetEyeIDS使用指南3－18系统配置－邮件报警NetEyeIDS使用指南3－19系统配置－防火墙联动•密钥由防火墙生成；NetEyeIDS使用指南3－20系统配置－Syslog服务器NetEyeIDS使用指南3－21系统配置－SNMP服务器NetEyeIDS使用指南3－22系统配置－NTP服务器NetEyeIDS使用指南3－23事件定义•安全事件，即：入侵特征库•IDS检测的基础•IDS根据预先定义好的安全事件来检测攻击和入侵行为NetEyeIDS使用指南3－24专业级别的入侵知识专家库•目前支持1700余种入侵事件检测•保证每星期定期升级，出现大规模蠕虫病毒或者危机事件时，保证随时升级•自定义规则的填加更加贴近用户实际应用环境NetEyeIDS使用指南3－25已有的安全事件NetEyeIDS使用指南3－26自定义事件－1NetEyeIDS使用指南3－27自定义事件－2NetEyeIDS使用指南3－28自定义事件－3NetEyeIDS使用指南3－29自定义事件－4NetEyeIDS使用指南3－30策略设置•将定义好的安全事件有选择地应用到IDS主机上NetEyeIDS使用指南3－31策略浏览•每个策略都是安全事件的一个集合；•IDS集成了多个默认的策略；NetEyeIDS使用指南3－32策略继承NetEyeIDS使用指南3－33策略编辑•根据网络和业务的需要，通过选中每个事件前的“复选框”来选择安全事件；NetEyeIDS使用指南3－34根据需要选择安全事件•一个简单的ping操作，IDS会报警：“ICMPEchoReply信息！”，而这些报警日志可能不是管理员希望看到的。NetEyeIDS使用指南3－35发现攻击多种响应方式可供选择•记录日志：记录到监控主机的攻击检测数据库，可通过攻击检测查询。•实时报警：实时报警中心显示报警事件，实时报警图标闪烁。•邮件报警：将报警事件以邮件的形式发送出去。•切断连接：切断事件产生的Tcp连接。•防火墙联动：由防火墙完成阻断工作。•Syslog：记录到配置的Syslog服务器。NetEyeIDS使用指南3－36发现攻击多种响应方式可供选择•SNMPTrap：记录到配置的SNMP服务器。•播放声音：按事件的优先级发出不同的声音；应在“本地选项”中启用服务、配置声音文件。•Windows日志：写入安全管理器所在的主机的日志中。•Windows消息：向指定的主机发送消息。•运行程序：在安全管理器所在的主机上运行指定的程序。NetEyeIDS使用指南3－37防火墙联动报警NetEyeIDS使用指南3－38策略应用NetEyeIDS使用指南3－39备份与恢复•将IDS上的日志备份到其他介质上；•将曾经备份到其他介质上的IDS日志导入到IDS设备上；•备份和恢复的操作类似；NetEyeIDS使用指南3－40数据库备份－1NetEyeIDS使用指南3－41数据库备份－2•选择备份的数据库的类别；NetEyeIDS使用指南3－42数据库备份－3NetEyeIDS使用指南3－43数据库备份－4NetEyeIDS使用指南3－44数据库备份－5•红色代表曾经备份过，并且就存放在此目录下；NetEyeIDS使用指南3－45数据库备份－6NetEyeIDS使用指南3－46数据库备份－7NetEyeIDS使用指南3－47数据库维护•维护攻击检测、内容恢复、应用审计、网络审计等数据库；•可按所占空间进行删除，或者按条件删除；NetEyeIDS使用指南3－48按条件删除•如图所示：删除源IP为192.168.75.75所发起的攻击事件；NetEyeIDS使用指南3－49数据库清除•清除数据库中所有的数据；NetEyeIDS使用指南3－50系统相关信息•系统升级（包含漏洞知识库升级）•系统时间•系统信息系统版本、网卡信息、注册序列号等NetEyeIDS使用指南3－51系统升级NetEyeIDS使用指南3－52系统时间NetEyeIDS使用指南3－53系统信息•可以查看NetEyeIDS的版本信息、规则库版本号、网卡信息、注册序列号；•当显示注册序列号时，代表此IDS是经过东软注册的可以使用的设备；否则会显示“未上载license”，此时设备不能正常工作；NetEyeIDS使用指南3－54安全审计NetEyeIDS使用指南3－55安全审计•实时报警实时显示最近检测到的攻击和入侵行为；•攻击检测显示以往检测到的攻击和入侵行为，包含历史记录；•网络审计分析并记录TCP、UDP和ICMP协议的网络连接信息，包括：MAC地址、IP地址、端口、传输数据包的个数等；NetEyeIDS使用指南3－56安全审计•内容恢复分析并记录包含内容数据的常见应用层协议会话的所有信息，如：完整的Web页面、完整的FTP访问过程、完整的邮件内容；•应用审计分析并记录常见应用层协议会话的关键信息，如：FTP的应用审计到登录信息为止；SMTP的应用审计到发件人、收件人、主题信息为止；NetEyeIDS使用指南3－57实时报警•实时显示最近检测到的1000条攻击和入侵行为；•1000为默认数字，可以进行修改，具体内容在后面介绍；NetEyeIDS使用指南3－58攻击检测•显示以往检测到的攻击和入侵行为；包含历史记录；NetEyeIDS使用指南3－59攻击检测的相关选项－1NetEyeIDS使用指南3－60解析相关选项•最近记录：显示最新发生的1000条攻击事件；•条件查询：根据一定的条件查询攻击事件；•详细信息：查看攻击事件的详细信息，包括：源IP、目标IP、协议、源端口、目标端口等；•清空本地数据：清空管理主机界面显示的攻击检测日志，便于浏览其他的攻击事件；•删除：删除选中的攻击事件；•其他的审计（内容恢复、应用审计、网络审计），也具有这些选项；NetEyeIDS使用指南3－61攻击检测－条件查询NetEyeIDS使用指南3－62攻击检测－条件查询结果•根据上页的条件得到的查询结果；NetEyeIDS使用指南3－63攻击检测－详细信息•192.168.75.26这台主机受到RPCDCOM缓冲区溢出攻击（冲击波）；攻击源是192.168.75.75这台主机；进行攻击的目标端口为135；NetEyeIDS使用指南3－64隐藏/显示“列”NetEyeIDS使用指南3－65攻击检测的相关选项－2NetEyeIDS使用指南3－66解析相关选项•统计图表：通过图表直观的查看各种信息的统计结果；•生成报表：利用报表查看器，分析各种审计，具体请参见《NetEyeIDS报表查看器使用指南》；•导出为CSV文件：将审计中的记录导出保存到本地管理主机上，便于以后查看；•其他的审计（内容恢复、应用审计、网络审计），也具有这些选项；NetEyeIDS使用指南3－67统计图表NetEyeIDS使用指南3－68内容恢复支持的协议•HTTP、FTP、POP3、SMTP、TELNET、NNTP、MSN、IMAP、DNS、YAHOO、Rlogin、Rsh等应用层协议。NetEyeIDS使用指南3－69内容恢复－HTTPNetEyeIDS使用指南3－70内容恢复－FTPNetEyeIDS使用指南3－71内容恢复－SMTPNetEyeIDS使用指南3－72应用审计NetEyeIDS使用指南3－73网络审计NetEyeIDS使用指南3－74工具选项NetEyeIDS使用指南3－75工具选项•网络探测主动评估网络主机的安全情况•调试工具IDS主机集成的调试命令•本地选项与IDS功能相关的一些选项NetEyeIDS使用指南3－76网络探测NetEyeIDS使用指南3－77网络探测：新建扫描NetEyeIDS使用指南3－78网络探测：设置扫描的IPNetEyeIDS使用指南3－79网络探测：设置扫描的内容NetEyeIDS使用指南3－80网络探测：是否通知被扫描的主机NetEyeIDS使用指南3－81网络探测：扫描结果NetEyeIDS使用指南3－82调试工具NetEyeIDS使用指南3－83调试工具支持的命令ping命令，参数为某主机的IP地址或域名；用来测试IDS与某一主机之间的网络连接是否正常。route命令，没有参数；查看IDS上的路由表。netstat命令，参数从下拉框中选择；查看IDS的网络状态。此命令参数含义如下：o-n以数字格式显示地址和端口号o-n–a显示所有网络连接的状态o-n–s显示每个协议的统计ifconfig命令，没有参数；查看IDS的网卡配置和运行状态。arp命令，没有参数；查看IDS的硬件地址缓存。NetEyeIDS使用指南3－84本地选项－实时报警选项NetEyeIDS使用指南3－85本地选项－审计日志选项NetEyeIDS使用指南3－86本地选项－内容回放选项NetEyeIDS使用指南3