1、配置交换机的端口镜像
在非共享式的交换机上需要配置端口镜像。交换机端口镜像功能将从指定的交换机端口中复制端口流量到镜像端口中,以便进行流量和协议分析。下面以思科的3500、2900系统的交换机为例讲述如何配置端口镜像:
型号
配置方式
命令步骤
说明
3500,2900 系列
IOS
enable,password
configure
configure terminal
interface fastethernet moudle/port
模块 / 端口
port monitor {moudal/port | vlanID}
镜像源端口或 vlan
end
write
show intterface fastethernet moudle/port mornitor
查看镜像
2、设置控制中心
控制中心的任何操作都是通过菜单来完成的,为了增加操作的方便,对常用的一些操作设置了专门的按钮。
3、配置探测引擎
探测引擎分两部分,工具栏和探测引擎/子控制列表。工具栏里罗列了和探测引擎控制相关的常用工具按钮。列表里面是受控制中心直接管理的探测引擎、和子控制中心。有名称、IP地址、运行策略、通道状态、应用策略的时间等信息。
4、编辑策略
策略分为系统策略以及衍生策略两类,系统策略为系统固有的策略,不可以进行编辑、删除及重命名。
衍生策略为系统固有策略的衍生策略,可以由用户更改。
选中一个策略,并按动"衍生策略"按钮,系统则复制一份完全一样的模板,名称是在原有的名字后面加上"衍生策略"。选中一个衍生策略,原"查看策略"按钮就会自动变成"编辑策略",按动该按钮,系统则以读写方式打开策略编辑器。
如图:
5、分析报表
IDS的一个最大的特点就是有详细的入侵检测报表分析,对每一件的网络攻击事件都有详细的记录(如:事件发生的时间、源IP与目的IP、攻击事件等)。根据不同的条件分为几组,方便查找。
6、联动
由于IDS的接入方式都是采用旁路方式来监听网络上的数据流,所以这就限制了IDS本身的阻断功能,IDS只有靠发阻断数据包来阻断当前的行为,阻断的范围很小,只能阻断建立在TCP基础之上的一些行为,如TELNET、FTP、HTTP等,对建立在UDP基础之上或已经完成了TCP三次握手之后的行为就无能为力了。
IDS与防火墙联动的目的就是为了更有效的阻断所发生的攻击事件。
答:每个进程执行在具有不同权限的环境中,这种环境控制着进程可访问的系统资源、程序和数据文件等详情>>