入侵检测 (eTrust Intrusion Detection)-7
第 7 章网络安全的集中管理
从上面的介绍可以看到,入侵检测 (eTrust Intrusion Detection) 提供了许多报告功能,它们几乎能够满足您能够想到的任何报告。
下面将介绍管理组件,它扩展了入侵检测 (eTrust Intrusion Detection) 的监视、探测和响应功能,并且提供集中管理多个分布式入侵检测 (eTrust Intrusion Detection) 站、远程管理远程入侵检测 (eTrust Intrusion Detection)站以及合并常用关系数据库中选定信息的功能。
7.1 介绍入侵检测 (eTrust Intrusion Detection) 管理控制台
入侵检测 (eTrust Intrusion Detection) 管理控制台提供了在网络中有效部署入侵检测 (eTrust Intrusion Detection) 的功能,同时保留了入侵检测 (eTrust Intrusion Detection) 安装上的方便、易操作性。
除了入侵检测 (eTrust Intrusion Detection) 的强大功能之外,管理员控制台版本还提供监控和管理多个入侵检测 (eTrust Intrusion Detection) 站的功能。
下面将深入介绍不同的组件。
7.1.1 中央/远程控制台
入侵检测 (eTrust Intrusion Detection) 管理控制台使网络管理员能够监控运行入侵检测 (eTrust Intrusion Detection) 的一个或多个站。方法是在不同的网段上安装入侵检测 (eTrust Intrusion Detection) 代理(本地和远程),它们受到中央“站”的控制,管理员可以根据代理收集的信息从中央“站”查看和生成报告。
入侵检测 (eTrust Intrusion Detection) 中央软件是一些服务的基础:
l 它允许单个用户监控和管理多个本地及远程入侵检测 (eTrust Intrusion Detection)。管理员可以通过该功能查看控制台上的警告,并且能够远程控制特定的入侵检测 (eTrust Intrusion Detection) 站,就象它是本地的一样。
l 允许管理远程的入侵检测 (eTrust Intrusion Detection) 站。
l 允许远程授权用户浏览他们有权查看的特定信息。
入侵检测 (eTrust Intrusion Detection) 管理控制台包括下列组件:
中央控制台解决方案客户端:
l 入侵检测 (eTrust Intrusion Detection) 中央控制台组件,它可以在 Windows 95、Windows 98 或 Windows NT 上运行。中央控制台组件可以接收、排序和显示由一个或多个远程入侵检测 (eTrust Intrusion Detection) 代理生成的警告,并且允许管理员连接和操作入侵检测 (eTrust Intrusion Detection) 代理。
l 入侵检测 (eTrust Intrusion Detection) 远程连接器是可以在 Windows 95、Windows 98 或 Windows NT 上运行的组件。远程组件允许用户通过 TCP/IP 或电话线连接远程管理入侵检测 (eTrust Intrusion Detection) 系统(one-at-the-time)。
中央控制台解决方案代理:
l 入侵检测 (eTrust Intrusion Detection) 中央控制台代理是在运行入侵检测 (eTrust Intrusion Detection) (R3.5 或更高)的站上工作的组件。入侵检测 (eTrust Intrusion Detection) 中央控制台代理包括在后台运行的代理应用程序(它从入侵检测接收警告,然后在身份验证握手之后将警告发送到入侵检测中央控制台),以及远程控制实用程序,它允许入侵检测 (eTrust Intrusion Detection) 中央控制台远程控制。
7.2 安装和配置入侵检测 (eTrust Intrusion Detection) 中央控制台/代理软件
注意:操作系统要求为Windows 95 ( OSR 2 )、Windows 98、Windows NT 4.0(SP3以上)。
要在中央控制台上远程查看入侵检测 (eTrust Intrusion Detection) 代理连接的数据,请完成下列安装步骤:
1. 在所有运行入侵检测 (eTrust Intrusion Detection) 并且要远程管理的站上安装代理软件。代理应用程序将在后台运行,用户不需要完成任何额外的配置。
2. 在计算机上安装中央软件以便从该计算机连接到入侵检测 (eTrust Intrusion Detection)站。关闭计算机并重新启动 Windows。启动入侵检测 (eTrust Intrusion Detection) 中央控制台。
3. 定义将管理中央控制台的用户的用户名和密码。如图所示。
4. 选择“收集器”、“新建工作站”。输入代理站的 IP 地址或 DNS 名称。
5. 选择中央控制台将用于与代理通讯的协议和端口。我们建议使用默认参数。
6. 如果适用,请选择“有永久 IP 地址的站”。
7. 选择加密类型:
l 控制台验证: 中央控制台对登录到中央控制台使用的用户名和密码和代理站上入侵检测 (eTrust Intrusion Detection) 中定义的合格用户名和密码进行检查验证。
l 显式验证:使用同时在入侵检测 (eTrust Intrusion Detection)和中央控制台中定义的用户名和密码。
8. 单击“确定”。中央控制台将连接到代理。代理捕获的警告将出现在中央控制台屏幕右边的窗口中。
9. 在右边的窗口中选择一条报警信息,用鼠标左键双击,可看到该报警信息的详细情况。如图所示。
点击上图右上方的方格区域,可关掉此对话框。
10. 对所有中央控制台和代理站重复步骤 1 到 8。
11. 当代理中的某个入侵检测 (eTrust Intrusion Detection) 用户注销时,中央控制台用户可以连接并控制代理的桌面。工具栏上的“状态”按钮将改变为 。
12. 单击工具栏按钮或选择“收集器”、“连接到桌面”。在几秒钟之后,代理的桌面将镜像到中央控制台。根据不同的用户权限(在入侵检测中定义),用户可以查看和修改入侵检测 (eTrust Intrusion Detection) 数据,以及控制代理的桌面。
13. 单击 从桌面断开。
友好提示 — 安装远程连接器类似于中央控制台安装。只要从产品资源管理器启动远程连接器安装程序,然后按同一步骤做就可以了。
第 8 章 监控网络上的活动
本章将介绍入侵检测 (eTrust Intrusion Detection) 日志浏览系统。通过日志浏览可以监控有关网络使用情况的归档细节。开始学习它的强大功能吧!
8.1 日志浏览系统简介
入侵检测 (eTrust Intrusion Detection) 日志浏览系统允许用户监控一段时间内的使用细节,方法是指定特定的数据库,然后浏览和查看归档信息。完成该任务的方法是在入侵检测 (eTrust Intrusion Detection) 中创建规则,它能够记录档案中的会话数据,并且允许在以后检索数据。用户也可以合并来自关系数据库中多个入侵检测 (eTrust Intrusion Detection) 站的会话信息。
入侵检测 (eTrust Intrusion Detection) 日志浏览系统包括三个主要的组件:
l 日志数据库客户端,它收集数据并将数据传输到档案。
l 日志数据库服务器,它控制同一或不同计算机上的归档数据。
l 日志数据库浏览器,它可以在任何 NT 系统上,并且为用户提供浏览归档日志的界面。
在安装了软件并定义了档案位置之后,用户需在入侵检测 (eTrust Intrusion Detection) 中定义规则以便将会话数据记录在档案中供以后检索。
8.2 为多个入侵检测站的会话创建数据库
下面的步骤提供了安装和配置日志浏览软件以及配置入侵检测 (eTrust Intrusion Detection) 以便查看归档入侵检测 (eTrust Intrusion Detection) 日志所需的所有信息。
8.2.1 安装数据服务器
注意:操作系统要求为Windows NT 4.0(SP3以上)或Windows 2000。
1. 在没有安装入侵检测 (eTrust Intrusion Detection) 的机器上安装入侵检测 (eTrust Intrusion Detection) 数据服务器。要开始安装,请使用产品资源管理器在 CD 上找到产品, 然后选择安装“入侵检测 (eTrust Intrusion Detection) 日志数据库服务器”。
2. 按向导中的指导做。系统将提示定义 NT 帐户细节。请填写必要的信息并继续向导,直到出现“入侵检测 (eTrust Intrusion Detection) 数据服务器安装”对话框为止(如图所示)。
3. 在“连接”框中输入连接到客户时使用的端口。默认端口是 7776。
4. 在“数据库”下选择“ODBC”、“MS Access”或者其它支持的数据库作为数据库源。如果选择 Microsoft MS 数据库,请单击“浏览”搜索数据库,或者单击“创建”创建数据库。如果选择 ODBC 数据库,请单击“设置”定义访问数据库的用户名和密码。
5. 在“档案位置”中选择数据库前缀文件夹。前缀文件夹显示了保存档案文件的设备名。如果入侵检测 (eTrust Intrusion Detection) 日志浏览数据服务器和档案文件在同一机器上,那么请使用根,例如 c: 或 d:\u12290如果它们不在同一机器上,请指向档案所在设备的共享名。
6. 后缀显示了包含档案文件的磁盘/设备上路径的其余部分,并且不依赖于共享设置。后缀包括了包含档案文件的实际文件夹名称。
7. 单击“确定”接受参数。
8. 重新启动计算机。
8.2.2 安装数据客户软件
注意:操作系统要求为Windows NT 4.0(SP3以上)或Windows 2000。
安装步骤
1. 确保已经在该 Windows NT 系统上安装了入侵检测 (eTrust Intrusion Detection),并且入侵检测 (eTrust Intrusion Detection) 数据服务器可以在其它机器上运行。
2. 从 CD 的产品资源管理器启动入侵检测 (eTrust Intrusion Detection) “日志数据库客户端”安装程序,然后按照向导的指导做。
3. 按照向导指导做,直到出现“入侵检测 (eTrust Intrusion Detection) 数据客户安装”对话框为止。
4. 在“入侵检测 (eTrust Intrusion Detection) 数据服务器站”框中键入服务器 IP 或者站名称。
5. 在“端口号”框中输入连接到服务器时使用的端口。默认端口是 7776。该端口号必须与入侵检测 (eTrust Intrusion Detection) 数据服务器安装中使用的端口号相同。
6. 在“临时文件”文件夹中输入在数据发送到服务器之前存储它的文件夹。
7. 单击“确定”接受参数,然后重新启动计算机。
8. 重复这些步骤在其它入侵检测 (eTrust Intrusion Detection) 系统上安装数据客户。请在每个客户上使用同一服务器 IP 和端口号。
8.3 配置入侵检测 (eTrust Intrusion Detection)使用日志浏览系统
入侵检测 (eTrust Intrusion Detection) 将日志信息发送到归档系统。为此,必须对规则应用“归档日志文件”行为。
1. 在入侵检测 (eTrust Intrusion Detection) 中定义新规则或者修改现有的规则。
2. 选择“归档日志文件”行为。选择“输出日志内容”。
8.4 安装和配置入侵检测 (eTrust Intrusion Detection) 日志数据库浏览器
注意:操作系统要求为Windows 95 (OSR 2)、Windows 98、Windows NT 4.0(SP3以上) 或 Windows 2000
安装步骤:
1. 从 CD 的产品资源管理器启动入侵检测 (eTrust Intrusion Detection) 日志浏览数据库浏览器安装应用程序,然后按向导的指导做。
2. 在安装软件之后选择“开始”、“程序”、“入侵检测 (eTrust Intrusion Detection) 日志数据库浏览器”,然后选择“日志数据库浏览器”。
3. 在入侵检测 (eTrust Intrusion Detection) 日志浏览数据库浏览器中选择“数据库”、“打开”。
4. 在“打开数据库”对话框中选择数据库源。该路径和在“数据库”框的“服务器”设置中输入的路径相同,并且应该指向同一 mdb 文件。但是,路径的开头应该根据数据库是否在远程(共享)机器或者在本地机器上而有所不同。
5. 在“归档位置”字段中输入归档文件的路径。这与安装服务器时在前缀文件夹下输入的路径相同。
6. 单击“确定”接受参数。现在可以创建查询以便查看归档信息了。
7. 从“查询”菜单中选择特定的协议。概要信息将显示在浏览器窗口中。
8. 要查看会话的内容,请双击“浏览器”列表中的记录项。该操作将激活入侵检测 (eTrust Intrusion Detection) 日志浏览器。每个记录都包含日志标题数据(显示在入侵检测的“树”窗口中)。浏览器将打开详细的数据并显示在入侵检测 (eTrust Intrusion Detection) “视图”窗口中。
从上面的介绍可以看到,入侵检测 (eTrust Intrusion Detection) 提供了许多报告功能,它们几乎能够满足您能够想到的任何报告。
下面将介绍管理组件,它扩展了入侵检测 (eTrust Intrusion Detection) 的监视、探测和响应功能,并且提供集中管理多个分布式入侵检测 (eTrust Intrusion Detection) 站、远程管理远程入侵检测 (eTrust Intrusion Detection)站以及合并常用关系数据库中选定信息的功能。
7.1 介绍入侵检测 (eTrust Intrusion Detection) 管理控制台
入侵检测 (eTrust Intrusion Detection) 管理控制台提供了在网络中有效部署入侵检测 (eTrust Intrusion Detection) 的功能,同时保留了入侵检测 (eTrust Intrusion Detection) 安装上的方便、易操作性。
除了入侵检测 (eTrust Intrusion Detection) 的强大功能之外,管理员控制台版本还提供监控和管理多个入侵检测 (eTrust Intrusion Detection) 站的功能。
下面将深入介绍不同的组件。
7.1.1 中央/远程控制台
入侵检测 (eTrust Intrusion Detection) 管理控制台使网络管理员能够监控运行入侵检测 (eTrust Intrusion Detection) 的一个或多个站。方法是在不同的网段上安装入侵检测 (eTrust Intrusion Detection) 代理(本地和远程),它们受到中央“站”的控制,管理员可以根据代理收集的信息从中央“站”查看和生成报告。
入侵检测 (eTrust Intrusion Detection) 中央软件是一些服务的基础:
l 它允许单个用户监控和管理多个本地及远程入侵检测 (eTrust Intrusion Detection)。管理员可以通过该功能查看控制台上的警告,并且能够远程控制特定的入侵检测 (eTrust Intrusion Detection) 站,就象它是本地的一样。
l 允许管理远程的入侵检测 (eTrust Intrusion Detection) 站。
l 允许远程授权用户浏览他们有权查看的特定信息。
入侵检测 (eTrust Intrusion Detection) 管理控制台包括下列组件:
中央控制台解决方案客户端:
l 入侵检测 (eTrust Intrusion Detection) 中央控制台组件,它可以在 Windows 95、Windows 98 或 Windows NT 上运行。中央控制台组件可以接收、排序和显示由一个或多个远程入侵检测 (eTrust Intrusion Detection) 代理生成的警告,并且允许管理员连接和操作入侵检测 (eTrust Intrusion Detection) 代理。
l 入侵检测 (eTrust Intrusion Detection) 远程连接器是可以在 Windows 95、Windows 98 或 Windows NT 上运行的组件。远程组件允许用户通过 TCP/IP 或电话线连接远程管理入侵检测 (eTrust Intrusion Detection) 系统(one-at-the-time)。
中央控制台解决方案代理:
l 入侵检测 (eTrust Intrusion Detection) 中央控制台代理是在运行入侵检测 (eTrust Intrusion Detection) (R3.5 或更高)的站上工作的组件。入侵检测 (eTrust Intrusion Detection) 中央控制台代理包括在后台运行的代理应用程序(它从入侵检测接收警告,然后在身份验证握手之后将警告发送到入侵检测中央控制台),以及远程控制实用程序,它允许入侵检测 (eTrust Intrusion Detection) 中央控制台远程控制。
7.2 安装和配置入侵检测 (eTrust Intrusion Detection) 中央控制台/代理软件
注意:操作系统要求为Windows 95 ( OSR 2 )、Windows 98、Windows NT 4.0(SP3以上)。
要在中央控制台上远程查看入侵检测 (eTrust Intrusion Detection) 代理连接的数据,请完成下列安装步骤:
1. 在所有运行入侵检测 (eTrust Intrusion Detection) 并且要远程管理的站上安装代理软件。代理应用程序将在后台运行,用户不需要完成任何额外的配置。
2. 在计算机上安装中央软件以便从该计算机连接到入侵检测 (eTrust Intrusion Detection)站。关闭计算机并重新启动 Windows。启动入侵检测 (eTrust Intrusion Detection) 中央控制台。
3. 定义将管理中央控制台的用户的用户名和密码。如图所示。
4. 选择“收集器”、“新建工作站”。输入代理站的 IP 地址或 DNS 名称。
5. 选择中央控制台将用于与代理通讯的协议和端口。我们建议使用默认参数。
6. 如果适用,请选择“有永久 IP 地址的站”。
7. 选择加密类型:
l 控制台验证: 中央控制台对登录到中央控制台使用的用户名和密码和代理站上入侵检测 (eTrust Intrusion Detection) 中定义的合格用户名和密码进行检查验证。
l 显式验证:使用同时在入侵检测 (eTrust Intrusion Detection)和中央控制台中定义的用户名和密码。
8. 单击“确定”。中央控制台将连接到代理。代理捕获的警告将出现在中央控制台屏幕右边的窗口中。
9. 在右边的窗口中选择一条报警信息,用鼠标左键双击,可看到该报警信息的详细情况。如图所示。
点击上图右上方的方格区域,可关掉此对话框。
10. 对所有中央控制台和代理站重复步骤 1 到 8。
11. 当代理中的某个入侵检测 (eTrust Intrusion Detection) 用户注销时,中央控制台用户可以连接并控制代理的桌面。工具栏上的“状态”按钮将改变为 。
12. 单击工具栏按钮或选择“收集器”、“连接到桌面”。在几秒钟之后,代理的桌面将镜像到中央控制台。根据不同的用户权限(在入侵检测中定义),用户可以查看和修改入侵检测 (eTrust Intrusion Detection) 数据,以及控制代理的桌面。
13. 单击 从桌面断开。
友好提示 — 安装远程连接器类似于中央控制台安装。只要从产品资源管理器启动远程连接器安装程序,然后按同一步骤做就可以了。
第 8 章 监控网络上的活动
本章将介绍入侵检测 (eTrust Intrusion Detection) 日志浏览系统。通过日志浏览可以监控有关网络使用情况的归档细节。开始学习它的强大功能吧!
8.1 日志浏览系统简介
入侵检测 (eTrust Intrusion Detection) 日志浏览系统允许用户监控一段时间内的使用细节,方法是指定特定的数据库,然后浏览和查看归档信息。完成该任务的方法是在入侵检测 (eTrust Intrusion Detection) 中创建规则,它能够记录档案中的会话数据,并且允许在以后检索数据。用户也可以合并来自关系数据库中多个入侵检测 (eTrust Intrusion Detection) 站的会话信息。
入侵检测 (eTrust Intrusion Detection) 日志浏览系统包括三个主要的组件:
l 日志数据库客户端,它收集数据并将数据传输到档案。
l 日志数据库服务器,它控制同一或不同计算机上的归档数据。
l 日志数据库浏览器,它可以在任何 NT 系统上,并且为用户提供浏览归档日志的界面。
在安装了软件并定义了档案位置之后,用户需在入侵检测 (eTrust Intrusion Detection) 中定义规则以便将会话数据记录在档案中供以后检索。
8.2 为多个入侵检测站的会话创建数据库
下面的步骤提供了安装和配置日志浏览软件以及配置入侵检测 (eTrust Intrusion Detection) 以便查看归档入侵检测 (eTrust Intrusion Detection) 日志所需的所有信息。
8.2.1 安装数据服务器
注意:操作系统要求为Windows NT 4.0(SP3以上)或Windows 2000。
1. 在没有安装入侵检测 (eTrust Intrusion Detection) 的机器上安装入侵检测 (eTrust Intrusion Detection) 数据服务器。要开始安装,请使用产品资源管理器在 CD 上找到产品, 然后选择安装“入侵检测 (eTrust Intrusion Detection) 日志数据库服务器”。
2. 按向导中的指导做。系统将提示定义 NT 帐户细节。请填写必要的信息并继续向导,直到出现“入侵检测 (eTrust Intrusion Detection) 数据服务器安装”对话框为止(如图所示)。
3. 在“连接”框中输入连接到客户时使用的端口。默认端口是 7776。
4. 在“数据库”下选择“ODBC”、“MS Access”或者其它支持的数据库作为数据库源。如果选择 Microsoft MS 数据库,请单击“浏览”搜索数据库,或者单击“创建”创建数据库。如果选择 ODBC 数据库,请单击“设置”定义访问数据库的用户名和密码。
5. 在“档案位置”中选择数据库前缀文件夹。前缀文件夹显示了保存档案文件的设备名。如果入侵检测 (eTrust Intrusion Detection) 日志浏览数据服务器和档案文件在同一机器上,那么请使用根,例如 c: 或 d:\u12290如果它们不在同一机器上,请指向档案所在设备的共享名。
6. 后缀显示了包含档案文件的磁盘/设备上路径的其余部分,并且不依赖于共享设置。后缀包括了包含档案文件的实际文件夹名称。
7. 单击“确定”接受参数。
8. 重新启动计算机。
8.2.2 安装数据客户软件
注意:操作系统要求为Windows NT 4.0(SP3以上)或Windows 2000。
安装步骤
1. 确保已经在该 Windows NT 系统上安装了入侵检测 (eTrust Intrusion Detection),并且入侵检测 (eTrust Intrusion Detection) 数据服务器可以在其它机器上运行。
2. 从 CD 的产品资源管理器启动入侵检测 (eTrust Intrusion Detection) “日志数据库客户端”安装程序,然后按照向导的指导做。
3. 按照向导指导做,直到出现“入侵检测 (eTrust Intrusion Detection) 数据客户安装”对话框为止。
4. 在“入侵检测 (eTrust Intrusion Detection) 数据服务器站”框中键入服务器 IP 或者站名称。
5. 在“端口号”框中输入连接到服务器时使用的端口。默认端口是 7776。该端口号必须与入侵检测 (eTrust Intrusion Detection) 数据服务器安装中使用的端口号相同。
6. 在“临时文件”文件夹中输入在数据发送到服务器之前存储它的文件夹。
7. 单击“确定”接受参数,然后重新启动计算机。
8. 重复这些步骤在其它入侵检测 (eTrust Intrusion Detection) 系统上安装数据客户。请在每个客户上使用同一服务器 IP 和端口号。
8.3 配置入侵检测 (eTrust Intrusion Detection)使用日志浏览系统
入侵检测 (eTrust Intrusion Detection) 将日志信息发送到归档系统。为此,必须对规则应用“归档日志文件”行为。
1. 在入侵检测 (eTrust Intrusion Detection) 中定义新规则或者修改现有的规则。
2. 选择“归档日志文件”行为。选择“输出日志内容”。
8.4 安装和配置入侵检测 (eTrust Intrusion Detection) 日志数据库浏览器
注意:操作系统要求为Windows 95 (OSR 2)、Windows 98、Windows NT 4.0(SP3以上) 或 Windows 2000
安装步骤:
1. 从 CD 的产品资源管理器启动入侵检测 (eTrust Intrusion Detection) 日志浏览数据库浏览器安装应用程序,然后按向导的指导做。
2. 在安装软件之后选择“开始”、“程序”、“入侵检测 (eTrust Intrusion Detection) 日志数据库浏览器”,然后选择“日志数据库浏览器”。
3. 在入侵检测 (eTrust Intrusion Detection) 日志浏览数据库浏览器中选择“数据库”、“打开”。
4. 在“打开数据库”对话框中选择数据库源。该路径和在“数据库”框的“服务器”设置中输入的路径相同,并且应该指向同一 mdb 文件。但是,路径的开头应该根据数据库是否在远程(共享)机器或者在本地机器上而有所不同。
5. 在“归档位置”字段中输入归档文件的路径。这与安装服务器时在前缀文件夹下输入的路径相同。
6. 单击“确定”接受参数。现在可以创建查询以便查看归档信息了。
7. 从“查询”菜单中选择特定的协议。概要信息将显示在浏览器窗口中。
8. 要查看会话的内容,请双击“浏览器”列表中的记录项。该操作将激活入侵检测 (eTrust Intrusion Detection) 日志浏览器。每个记录都包含日志标题数据(显示在入侵检测的“树”窗口中)。浏览器将打开详细的数据并显示在入侵检测 (eTrust Intrusion Detection) “视图”窗口中。
0
相关文章
关注我们
