【文章內(nèi)容簡介】 該信息 ，使其變?yōu)楦吡溜@示。 6， 點擊“導(dǎo)出”。 7， 輸入用戶密碼（自行制定，但必須是 9 位長度，在用戶密碼和密碼確認兩項后都填上）點擊 ? 可以選擇密鑰的存放位置，但記住不要更改密鑰文件的名稱。 第二步， 入侵檢測系統(tǒng)控制臺端的配置 8， 保護網(wǎng)絡(luò)設(shè)置： 用來設(shè)置在哪些網(wǎng)段內(nèi)需要使用聯(lián)動。 選擇“設(shè)置”菜單下 對象 注冊 網(wǎng)絡(luò)。 彈出如下窗口： 在這里，輸入 IP 地址為一個網(wǎng)段的地址，本實例中注冊的是入侵檢測系統(tǒng)控制臺所在的網(wǎng)段。 聯(lián)想網(wǎng)御 安全動力 **************************************************************************** 公 司名稱：武漢信達計算機網(wǎng)絡(luò)有限公司 公司網(wǎng)址： (網(wǎng)站有專門的安全技術(shù)交流區(qū) ) 公司座機： 02787678220 50248899 本人手機： 13986051099(武漢 ) 13552507909(外地 ) 交流郵箱： 交流 ： 272055389 12 點擊“下一步”完成網(wǎng)段的注冊。 選擇“探測器”菜單下的“屬 性”，或者在左面窗口的 IDS 圖標上點擊左鍵，選擇“屬性”。 選擇“積極性響應(yīng)策略”。 選擇“防火墻設(shè)置”。點擊“添加” 9， 按照如下填寫： 名稱：可以是隨意字符串，定義防火墻設(shè)備的名稱 廠商：在下拉列表中選擇聯(lián)想網(wǎng)御 2020 防火墻。 超時時限：輸入一個 010000 之間的數(shù)，定義防火墻上執(zhí)行響應(yīng)后的策略生效時限。 Conf file：填寫配置文件的名稱，在這里，填寫 點擊“下一步”繼續(xù)。 點擊下一步，將剛剛注冊的 lan（內(nèi)部網(wǎng)絡(luò)），選擇到“所選 對象”中來。（默認 lan 是在“非選對象”中的） 點擊“下一步”完成防火墻對象的注冊。 在 CMD 窗口中，切換到 所在的目錄。 ftp 連接到探測器。 使用用戶名和口令與上穿控制臺與探測器的通訊密鑰口令一致： certkey/no1ids 需要注意的是：這里 no1ids 中是阿拉伯數(shù)字 1 而不是字母 l。 按照下圖傳輸，注意： 文件名大小寫不要寫錯了。 ftp certkey no1ids bin put bye 使用超級 終端或者是 secureCRT 連接到探測器上，在 enable 模式下，輸入： sensor fw ip 設(shè)置防火墻地址 sensor fw port 5000 設(shè)置防火墻聯(lián)動通訊端口，默認是 5000 sensor fw password 000000000 設(shè)置聯(lián)動密碼，和生成 9 位 密碼一致 完成設(shè)置后，可以輸入 sensor fw view 查看是否有錯誤。 確認無誤后，輸入 wr fwkey 保存聯(lián)動密鑰。 實驗 關(guān)鍵 ： 問：為什么我在界面上看不到報警信息，但是連接是正常的？ 答：首先檢查交換機的端口鏡象是否做對了，可以登錄到交換機的端口上察看端口流量。如果鏡象設(shè)置正確， 檢查連接監(jiān)聽口和鏡象口的網(wǎng)線是否正常，如果以上都檢查無誤，看控制臺界面上的探測器狀態(tài)下是否顯示有流量，如果有，看不到報警信息可能是由于參數(shù)的配置不正確引起的，在 控制臺界面的探測器上點擊右鍵，選擇“屬性”， “高級”選項，看探測器詳細設(shè)置中，是否將 eth0 選擇為抓包網(wǎng)卡（ eth0對應(yīng)探測器上的監(jiān)聽口），以及“主控制臺信息”中控制臺 IP 地址是否為本機地址。另外，還可以嘗試一下下發(fā)一遍事件規(guī)則。聯(lián)想網(wǎng)御 安全動力 **************************************************************************** 公 司名稱：武漢信達計算機網(wǎng)絡(luò)有限公司 公司網(wǎng)址： (網(wǎng)站有專門的安全技術(shù)交流區(qū) ) 公司座機： 02787678220 50248899 本人手機： 13986051099(武漢 ) 13552507909(外地 ) 交流郵箱： 交流 ： 272055389 13 重新啟動探測器。 問：為什么我的控制臺不能連接到探測器？ 答：首先確認探測器是正式授權(quán)的（一般情況下，大家看到的不會是試用版，可以使用超級終端登錄到探測器，使用 sensor 命令察看探測器狀態(tài)，關(guān)于 sensor 的用法，可以使用 sensor ?來察看），如果探測器狀態(tài)正 常，嘗試 ping探測器，看是否能通。最后，重新上傳通訊密鑰，再做一遍。 問：為什么我在將某一條事件設(shè)置為與防火墻聯(lián)動時，出現(xiàn)“在同一個網(wǎng)段，未能阻斷” 答：控制臺界面 設(shè)置 檢測對象 管理，里面有一個內(nèi)網(wǎng)的網(wǎng)段定義，當且僅當某一個事件的源目的雙方有且僅有一個地址在內(nèi)網(wǎng)定義范圍內(nèi)，該事件才能聯(lián)動成功。舉個例子：當內(nèi)網(wǎng)定義為 網(wǎng)段，那么， 到 ，而 到 之間的訪問無法被防火 墻阻斷，并且 到 之間的訪問也不能被阻斷。問：為什么我的控制臺不能連接到探測器？ 問：控制臺上顯示的探測器時間與實際時間不符，如何更改？ 答：用超級終端登錄到探測器，在全局模式下，有 data 命令，根據(jù)其格式可以更改探測器的時間。在時間不一致的情況下，會導(dǎo)致事件統(tǒng)計窗口無數(shù)據(jù)顯示。在 版本中，可以使用探測器菜單下的時間同步來完成。 問：一個控制臺可以注冊幾個探測器及可以檢測多少臺主機？ 答：一般一個探測器可以連 100 臺探測器及檢測 65535 臺主機，但考慮到網(wǎng)絡(luò)的實際數(shù)據(jù)量而不同。 問：使用了防火墻和入侵檢測系統(tǒng)，但如果防火墻被攻破的話，如何保證入侵檢測系統(tǒng)的安全？ 答：首先，入侵檢測系統(tǒng)的所有傳輸信息都是加密的，攻破了防火墻，也不可能輕易得知入侵檢測系統(tǒng)的地址，其次，入侵檢測系統(tǒng)的通訊口也可進行抓包，這種情況下，即使對探測器進行攻擊，也可以很快被入侵檢測系統(tǒng)發(fā)現(xiàn)。 問：聯(lián)動的所有注意事項都注意到了，但還是顯示一個畫 x 的墻符號（表示聯(lián)動不成功），但雙擊后看到的問題描述里什么都沒寫，這是怎么回事？ 答：這是因為防火墻和 IDS 探 測器雙方時間不一致導(dǎo)致的，只需要將時間調(diào)為一致即可。 聯(lián)想網(wǎng)御 安全動力 **************************************************************************** 公 司名稱：武漢信達計算機網(wǎng)絡(luò)有限公司 公司網(wǎng)址： (網(wǎng)站有專門的安全技術(shù)交流區(qū) ) 公司座機： 02787678220 50248899 本人手機： 13986051099(武漢 ) 13552507909(外地 ) 交流郵箱： 交流 ： 272055389 14 實驗 八 ： 聯(lián)想 SIS 安全隔離系統(tǒng)的管理模塊 配置 實驗?zāi)康模? 實驗環(huán)境： 實驗工具： 文件模塊：文件交