DCNIDS入侵检测安装和部署手册

DCNIDS-1800安装和部署手册DCNIDS-1800M/M2/M3/G/G2/G3神州数码入侵检测系统安装和部署手册文档版本号:20080122神州数码网络(北京)有限公司DigitalChinaNetworksLTDAllRightsReserved.DCNIDS-1800安装和部署手册版权声明本白皮书中的内容是神州数码DCNIDS-1800M/M2/M3/G/G2/G3入侵检测系统安装和部署手册。本材料的相关权力归神州数码网络（北京）有限公司所有。白皮书中的任何部分未经本公司许可，不得转印、影印或复印。由于产品版本升级或其它原因本白皮书内容会不定期进行更新除非另有约定本白皮书仅作为使用指导本手册中的所有陈述信息和建议不构成任何明示或暗示的担保。本声明仅为文档信息的使用而发表，非为广告或产品背书目的。本声明仅为文档信息的使用而发表，非为广告或产品背书目的。支持信息本资料将定期更新，如欲获取昀新相关信息，请查阅公司网站：直接致电本公司网络安全产品中心010－82705312及神州数码客服中心服务热线400-810-9119，800-810-9119您的意见和建议请发送至：ZongYu@digitalchina.comDCNIDS-1800安装和部署手册目录网络安全介绍.............................................................................................................................................................4DCNIDS-1800的特点................................................................................................................................................6DCNIDS-1800系统结构............................................................................................................................................9部署DCNIDS-1800..................................................................................................................................................11系统的安装顺序.......................................................................................................................................................35配置传感器...............................................................................................................................................................37安装数据库...............................................................................................................................................................41安装LogServer..........................................................................................................................................................50安装事件收集器.......................................................................................................................................................54安装许可密钥...........................................................................................................................................................59安装控制台...............................................................................................................................................................60安装报表...................................................................................................................................................................70卸载DCNIDS-1800..................................................................................................................................................74神州数码DCNIDS-1800M/M2/G/G2入侵检测系统安装和部署手册网络安全介绍概述随着各公司将局域网（LAN）联入广域企业网（WAN），网络变得越来越复杂，也越来越难以保证安全。为了共享信息，实现流水线操作，各公司还将他们的网络向商业伙伴、供应商及其它外部人员开放，这些开放式网络比原来的网络更易遭到攻击。此外，他们还将内部网络联结到Internet，想从Internet的分类服务及广泛的信息中得到收益，以满足重要的商业目的，包括：让员工访问Internet资源。员工利用Internet中大量的信息和设施提高他们的生产率。允许外部用户通过Internet访问内部网。企业需要将内部网络信息向外部用户公开，包括客户、提供商和商业伙伴。将Internet作为商务基础。Internet昀吸引人的一个地方在于与常规商业媒介相比它能使各公司接触到的客户范围更广，数量也更多。将Internet作为广域网的基础。Internet为局域网接入WAN提供了经济的手段。虽然联入Internet有众多的好处，但它无疑将内部网络暴露给数以百万计的外部人员，大大地增加了有效维护网络安全的难度。为此，技术提供商提出了多种安全解决方案以帮助各公司的内部网免遭外部攻击，这些措施包括防火墙、操作系统安全机制（例如身份确认和访问权限等级）及加密。但即便采用各种安全解决方案的结合，黑客也总能设法攻破防线,而且网络为了适应不断变化的商业环境：例如重组、兼并、合并等不得不经常改动，这就使有效维护安全措施的这一问题更加复杂。必须加强安全网络变得日益复杂且更加开放，对Internet的依赖也更强，因此各公司感到网络越来越不安全了。现在许多公司已经意识到这一点，使用了许多安全设施保护内部网络使其免遭外部攻击。有一种类型的安全设施引起了世人的广泛瞩目，这就是防火墙。它在Internet与企业网的连接点处设置了一道屏障以抵御攻击。通常，我们用一台防火墙来限制来自Internet的数据流进入我们的网络。但是防火墙并不是没有缺陷的，它们很难配置，甚至专家也很难掌握此道。即便是配置合理的防火墙也有已知的弱点。利用IP蒙骗技术和IP碎片技术，黑客们已经展示了他们穿过当今市场上大部分防火墙的本领。另外一个问题在于，在许多情况下，黑客完全可以绕开防火墙。例如，如果内部用户将modem连接到上网的PC上，忘掉在modem线路上设置密码，那么黑客可能会通过这个modem完全绕过防火墙，直接侵入内部网络。防火神州数码DCNIDS-1800M/M2/G/G2入侵检测系统安装和部署手册墙可以限制来自Internet的数据流进入我们的网络，但是对于来自防火墙内部的攻击却无能为力。实际上，由心怀不满的雇员或合作伙伴发起的内部攻击占网络入侵的很大一部分。1999年，所有的计算机犯罪的80%是内部威胁。其他我们需要考虑的数据流限制包括商业伙伴和远程访问。经常，我们的商业伙伴需要访问我们的网络以完成他们的工作。这种访问应该受控制，并限制其只能访问所需的资源。我们的雇员也需要从家中或旅行在外时能访问公司网络。如果不允许这种访问，将会降低企业的生产力。如果允许远程访问，则易导致我们的网络暴露给外部攻击者。我们必须对这些情况仔细进行分析，建立适当的数据流限制规则，以让我们的用户能提高工作效率，同时还要减少网络被破坏的风险。除了可增加防火墙设备，还可在操作系统上构建安全机制。操作系统通过密码对用户进行鉴别，并提供对信息的多层访问控制。但是，同防火墙一样，操作系统安全机制也易遭到破坏。从安全角度讲，操作系统安全机制很难配置，另对一个问题是操作系统的软件更新可引入管理员不知的安全漏洞。此外，操作系统级别的访问控制无需直接映射网络级别。所以，操作系统的访问控制并不总能有助于阻挡对网络的攻击。因此，需要一种独立于常规安全机制的安全解决方案——一种能够破获并中途拦截那些能够攻破网络第一道防线的攻击。这种解决方案就是“入侵检测系统”。利用“入侵检测系统”连续监视网络通讯情况，寻找已知的攻击模式，当它检测到一个未授权活动时，软件会以预定方式自动进行响应，报告攻击、记录该事件或是断开未授权连接。“入侵检测系统”能够与其他安全机制协同工作，提供真正有效的安全保障。对有效的攻击识别和响应的要求要将网络安全保护的滴水不漏是不太可能的，即使是按照我们制定的安全策略来保护我们的网络也是一项非常艰巨的任务。即使是被保护的很好的网络也需要不断的更新以修补新出现的漏洞。保护我们的网络是一项持久的任务，它包括保护、监视、测试，以及不断的改进。“入侵检测系统”必须满足许多要求，以提供有效的安全保障，主要的要求包括：实时操作。攻击识别和响应软件必须能够实时地检测、报告可疑攻击并做出实时反应。那些仅能在事后记录事件、提供校验登记的软件效率是不高的。这种事后检查的软件就像是在盗贼们扬长而去之后才报警的防盗警铃，此外，许多攻击者在攻入时就擦掉了记录。所以仅是扫描事件记录是检查不到攻击的。可以升级。正如有新的计算机病毒不断涌现一样，黑客们总能找到新的方法侵入计算机系统，所以攻击识别和响应软件必须能够将已知的入侵模式和未授权活动不断增加到知识库中。可运行在常用的网络操作系统上。软件必须支持现有的网络结构，这就是说它必须支持现有的网络操作系统，如WindowsNT。易于配置。在无需牺牲效率的条件下，易于配置。攻击识别和响应软件应提供默认配置，管理员可以迅速安装并随着信息的积累对其不断优化。此外，软件还应提供样本配置