入侵检测 (eTrust Intrusion Detection)-4
第 4 章 提供整套网络安全解决方案
前面讲到,入侵检测 (eTrust Intrusion Detection) 根据规则来监控和阻塞网络事件。在定义规则的时候可以为规则选择预定义参数,也可以在规则窗格中定义参数。本章讨论如何定义这些参数。
本章介绍如何:
l 定义网络对象
l 定义服务
l 定义规则类型
l 定义操作
l 定义合格用户
4.1 定义网络对象
网络对象是在设置规则参数时用于定义客户端或服务器的站或者一组站。网络对象可以包括:
l 网络上的全部或特定站
l 部分站
l 工作站用户
l 共用特定域后缀的站
l 一组站
l 内部网络上的所有站
l 内部网络之外上的所有站
l 除特定对象之外的所有网络对象
虽然入侵检测 (eTrust Intrusion Detection) 允许定义上面列表中的任何项目,但是下面只提供了其中一部分的定义步骤。请阅读以了解如何添加网络对象、添加站、添加主机、添加域和添加工作站用户。其他网络对象的定义是类似的。
添加新的网络对象
添加新的网络对象的步骤为:
1. 从“设置”菜单中选择“定义”。
2. 在“定义”对话框中选择“网络对象”选项卡。
3. 选择网络对象并单击“添加”,或者选择网络对象,单击鼠标右键,然后选择菜单选项之一。下图为“选择网络对象类型”对话框。
4. 按照下面小节中的步骤添加特定的网络对象。
4.1.1 添加“所有”站
在定义规则或排除服务的时候,可以选择用“所有”网络对象选择跟踪本地网络之内或之外的所有站活动。
添加“所有”站的步骤:
1. 在“选择网络对象类型”对话框中选择“ANY”,然后单击“添加”。如图所示。
2. 键入网络对象的名称,然后单击“确定”。
4.1.2 添加主机
主机是网络上根据其 IP 或者 MAC 地址定义的特定站。该站也可以有 DNS 名称。
添加主机:
1. 在“选择网络对象类型”对话框中选择“主机”,然后单击“添加”。弹出“HOST属性”对话框。
2. 在“名称”文本框中键入新的主机名。
3. 用下列方式之一指定 IP 地址或者 MAC 地址:
l 键入 IP 地址或 MAC 地址。
l 单击“检测的终端”,显示探测到的客户和服务器站列表。
l 单击“查找主机地址”根据主机名查找主机地址(IP 地址或者 MAC 地址)。
4. 单击“确定”返回到“网络对象”页。
4.1.3 添加域
网络对象可以定义为一组共用同一后缀的站,该后缀就是域名,例如 .net(网络操作)、.com(商业)、t.com(例如可以包括 microsoft.com,等等)。
添加“域”网络对象:
1. 从“选择网络对象类型”对话框中选择“DOMAIN”,然后单击“添加”。
2. 在“名称”框中键入域的描述名称,例如 magazine domain。如图所示。
3.在“域后缀”框中键入域和标识域的后缀,例如 Playboy.com
4. 单击“确定”返回到“网络对象”页。
注意:如果用域网络对象定义阻塞类型规则,那么在第一次探测到规则匹配时阻塞器可能无法工作。
4.1.4 添加工作站用户
用户可以定义为在规则中使用的网络对象。例如,某个规则可以定义为记录或阻塞特定用户接收的电子邮件。
定义工作站用户属性:
1. 根据“添加或修改网络对象”中的步骤选择工作站用户网络对象。“工作站用户属性”对话框将出现。如图所示。
2. 在“名称”框中键入标识用户的名称。
3. 在“授权”框中选择用户的类型。可以使用下面的选项:
l 任意: 这是默认选项,它代表任何已验证的用户。
l NT 域:代表域控制器验证的用户。
l RAS: 代表远程访问服务验证的用户。
l eTrust SSO:由eTrust SSO验证的用户。
4. 在“类型”中选择为“单个工作站”或“组”类型。
5. 输入域和用户名。
6. 单击“确定”保存改动。
4.2 定义服务
在定义服务时,需要决定入侵检测 (eTrust Intrusion Detection)监控或阻塞的服务。
请按照下面的指导来添加新服务:
1. 从“设置”菜单中选择“定义”。“定义”对话框将出现。
2. 在“定义”对话框中单击“服务”选项卡,然后单击“添加”。如图所示。
3. 在“名称”框中键入新名称。
4. 在“协议”框中选择“TCP”或“UDP”协议。
5. 在“端口”框中输入该服务使用的端口号或者端口号范围。单击“添加”。
6. 对不需要的端口,可在选择端口后单击“删除”。
7. 在“分析”框中滚动找到相关的分析器。
注意:“Default”表示已经为所有服务预定义了选项的分析器。
8. 如果传输的数据是文本格式,那么请选择“原文协议”。如果数据是二进制格式,请清除复选框。
9. 单击“确定”。
4.3 定义规则类型
规则类型定义了入侵检测 (eTrust Intrusion Detection) 在会话中搜索的标准。
4.3.1 添加和修改规则类型
请按照下面的指导来添加或修改规则类型:
1. 从“设置”菜单中选择“定义”。
2. 在“定义”对话框中选择“规则类型”选项卡。单击“添加”可以显示“规则类型”对话框。如图所示.
点击“添加”,出现规则类型对话框。如图所示。
3. 在“名称”框中键入标识规则类型的名称,或者修改现有的名称。
4. 在“服务”框中选择服务。单击“服务”按钮可以添加新服务或者修改现有服务的属性。
5. 在“规则类型标准”框中选择标准。
6. 如该标准需要参数,请选择“参数”按钮以输入规则类型标准的详细信息。
7. 单击“确定”返回到“类型”对话框。
4.3.2 定义规则类型标准
规则标准的类型有许多。某些标准可以作用于多个服务,而某些则是特定于服务的。根据选择的标准不同,“参数”按钮也会相应地变为有效或无效。选择该按钮可以定义特定标准的参数。本节内容是对参数定义步骤的说明。
设置匹配字符串参数
在设置规则类型标准的时候,可以输入入侵检测 (eTrust Intrusion Detection)在会话中搜索的特定文本串。例如,入侵检测 (eTrust Intrusion Detection) 可以在会话的主题或标题,或者在文件扩展名中搜索某个文本串。
设置匹配字符串参数:
1. 请按照“定义规则类型”中的步骤来定义规则类型标准。
2. 选择标准类型,然后单击“参数”。出现“匹配字符串参数”对话框。如图所示。
3. 在“输入新字符串”框中键入入侵检测 (eTrust Intrusion Detection) 将搜索的文本。
4. 单击“添加”。文本将出现在“要匹配的字符串”框中。您可以添加多个文本串。
5. 要删除不需要的文本串,需在“要匹配的字符串”框中选择字符串,然后单击“删除”。
6. 选择“大小写匹配”以区分大小写字母。
7. 选择“全字匹配”可以匹配整个单词而不只是部分。
8. 选择“搜索客户数据”和/或“搜索服务器数据”以指定必须搜索的 TCP/IP 会话部分。
9. 单击“确定”应用改动。
4.4 定义操作
操作是当会话匹配规则中的条件时发生的响应。入侵检测 (eTrust Intrusion Detection) 包含了许多预定义的操作,用户也可以创建自定义操作。
添加和修改操作
请按照下面的指导来添加或修改操作。
定义操作:
1. 从“设置”菜单中选择“定义”。在“定义”对话框中选择“操作”选项卡。如图。
2. 单击“添加”或“修改”。“操作属性”对话框将出现。
3. 按照后面的指导来定义操作属性。
下面以几个操作的定义来举例说明。
4.4.1 在“树”窗口中记录事件详细信息
当选择在“树”窗口中记录事件的详细信息后,用户可以决定日志是否应该包括会话的内容,以及内容是否应该加密或签名。如果选择包括会话内容,那么当在“树”窗口中选择会话后,应该能够在“视图”窗口中看到这些详细信息。
要记录会话的详细信息:
1. 在“操作属性”对话框中选择“日志”作为操作类型。如图。
2. 选择“显示会话内容”以显示会话内容。
3. 选择“加密日志文件”可以将日志文件的内容加密。
4. 选择“日志文件签名”可以将日志文件的内容签名。
5. 检查日志文件的完整性,方法是在“视图”窗口中显示会话的详细信息,然后从“上下文”菜单中选择“检查日志文件”。
4.4.2 阻塞会话
该操作将阻塞会话。用户需键入要入侵检测 (eTrust Intrusion Detection)发送给会话发起者的消息。如果不在此输入消息,那么入侵检测 (eTrust Intrusion Detection) 将发送默认的阻塞消息。
定义阻塞属性:
1. 在“操作属性”对话框中选择“阻塞” 操作类型。
2. 在“阻塞消息”框中输入消息,会话被阻塞时可以显示该消息。
3. 选择“传送通过”可以取消已定义客户和服务器的阻塞规则。如果要阻塞除特定站之外的所有站,那么该选项就很有用。这时必须定义两个规则:第一个规则启用“阻塞”和“传送通过”,第二个使用“阻塞”操作(规则必须按此顺序)。
4. 单击“确定”。
4.4.3 发送电子邮件消息
当发生事件时,您可以选择发送电子邮件通知。入侵检测 (eTrust Intrusion Detection) 用称为“发件箱”的组件来发送电子邮件消息。
定义电子邮件消息的属性:
1. 在“操作属性”对话框中选择“电子邮件”。如图所示。
2. 在“发给”框中键入收件人的电子邮件地址,然后单击“添加”。可以指定多个电子邮件地址。也可选中一项后,单击“删除”,从列表中删除收件人。
3. 在“主题”框中键入电子邮件消息的主题。
4. 在“正文”框中键入电子邮件消息的内容。单击“标记”按钮可以添加符号。
5. 单击“确定”接受改动。
4.4.4 归档日志文件
该操作归档和输出日志文件内容以便在入侵检测 (eTrust Intrusion Detection) 日志浏览程序中使用。
1. 在“操作属性”对话框中选择“归档日志文件”。如图所示。
2. 如果要查看日志内容,请选择“输出日志内容”。否则只输出标题。
3. 单击“确定”。
4.4.5 在定义操作时使用标记
在为规则定义操作时,用户可以在当规则匹配时发送的消息中添加标记。标记由代码组成,该代码自动在消息中包括与规则有关的特定数据。这样就可以定义应用于多个规则的单一操作,原因是消息可以显示特定于匹配规则的信息。
添加标记的步骤如下:
1. 选择行为类型。
2. 将光标放在文本框中,然后单击鼠标右键显示可用标记列表和编辑选项。也可以单击“标记”按钮。
3. 从出现的列表中选择要显示在文本中的标记。
4.5 定义入侵检测 (eTrust Intrusion Detection)用户
由于入侵检测 (eTrust Intrusion Detection) 所收集信息的敏感特性,只有网络管理员能够访问入侵检测 (eTrust Intrusion Detection) 的所有功能。但是,管理员可以允许其他用户查看入侵检测 (eTrust Intrusion Detection) 所匹配的规则细节。在登录时,入侵检测 (eTrust Intrusion Detection) 将要求输入用户名和密码。
4.5.1 定义用户:
1. 从“设置”菜单中选择“定义”。
2. 在“定义”对话框中选择“用户”选项卡,然后单击“添加”。
3. 在“用户属性”对话框中输入用户名,然后定义用户的密码。
4. 单击“确定”。 出现“许可”对话框。
5. 在“许可”对话框中选择特定用户可以查看的规则。
6. 点击“确定”。新用户将出现在“定义”对话框的“用户”页上。
7. 要修改已有用户可以查看的规则列表,需先在“用户”页中选择用户,然后单击“许可”。
8. 要修改已有用户,需先选择用户,然后单击“删除”。
注意:也可以通过双击规则窗格上的“合格用户”选项卡来访问“用户”页。
4.5.2 定义用户属性
为每个合格的入侵检测 (eTrust Intrusion Detection) 用户定义用户名和密码步骤为:
1. 从“设置”菜单中选择“定义”。
2. 在“定义”对话框中选择“用户”选项卡。单击“添加”。
3. 在“用户属性”对话框中输入用户名。如图所示。
4. 在“密码”框中键入用户密码。
5. 在“确认密码”框中重新键入密码。
4.5.3 定义用户许可
在“许可”对话框中可以定义特定用户能够查看的规则。当用户登录时,他们只能在“树”窗口中查看这些规则的细节。如果需要,管理员可以更改这些权限。
定义用户许可步骤如下:
1. 访问“许可”对话框的方法有两种:
l 对于新用户来说,在输入用户名和密码后“许可”对话框将出现。
l 对于现有用户来说,可以通过选择“设置”、“选项”来访问“许可”对话框。请选择用户,然后单击“许可”按钮。出现“Permission”对话框。
2. 单击“全选”可以选择所有规则,或者单击“清除”可以删除所有选择,然后可以逐个选择规则。
3. 在“浏览规则”框中可以选择查看所有已定义规则,或者只查看当前使用的规则。注:只有在规则窗格中修改了规则后该选项才有效。
4. 单击“确定”接受改动。回到“定义”对话框。
4.5.4 更改用户密码
只有管理员可以定义和删除用户, 但是用户可以更改管理员分配给他们的密码。
更改用户密码:
1. 用管理员分配的用户名和密码登录为用户。
2. 从“设置”菜单中选择“用户密码”。
3. 在“旧密码”框中键入旧密码。
4. 在“新密码”框中键入新密码。
5. 在“确认新密码”框中重新键入新密码。
6. 单击“确定”。
前面讲到,入侵检测 (eTrust Intrusion Detection) 根据规则来监控和阻塞网络事件。在定义规则的时候可以为规则选择预定义参数,也可以在规则窗格中定义参数。本章讨论如何定义这些参数。
本章介绍如何:
l 定义网络对象
l 定义服务
l 定义规则类型
l 定义操作
l 定义合格用户
4.1 定义网络对象
网络对象是在设置规则参数时用于定义客户端或服务器的站或者一组站。网络对象可以包括:
l 网络上的全部或特定站
l 部分站
l 工作站用户
l 共用特定域后缀的站
l 一组站
l 内部网络上的所有站
l 内部网络之外上的所有站
l 除特定对象之外的所有网络对象
虽然入侵检测 (eTrust Intrusion Detection) 允许定义上面列表中的任何项目,但是下面只提供了其中一部分的定义步骤。请阅读以了解如何添加网络对象、添加站、添加主机、添加域和添加工作站用户。其他网络对象的定义是类似的。
添加新的网络对象
添加新的网络对象的步骤为:
1. 从“设置”菜单中选择“定义”。
2. 在“定义”对话框中选择“网络对象”选项卡。
3. 选择网络对象并单击“添加”,或者选择网络对象,单击鼠标右键,然后选择菜单选项之一。下图为“选择网络对象类型”对话框。
4. 按照下面小节中的步骤添加特定的网络对象。
4.1.1 添加“所有”站
在定义规则或排除服务的时候,可以选择用“所有”网络对象选择跟踪本地网络之内或之外的所有站活动。
添加“所有”站的步骤:
1. 在“选择网络对象类型”对话框中选择“ANY”,然后单击“添加”。如图所示。
2. 键入网络对象的名称,然后单击“确定”。
4.1.2 添加主机
主机是网络上根据其 IP 或者 MAC 地址定义的特定站。该站也可以有 DNS 名称。
添加主机:
1. 在“选择网络对象类型”对话框中选择“主机”,然后单击“添加”。弹出“HOST属性”对话框。
2. 在“名称”文本框中键入新的主机名。
3. 用下列方式之一指定 IP 地址或者 MAC 地址:
l 键入 IP 地址或 MAC 地址。
l 单击“检测的终端”,显示探测到的客户和服务器站列表。
l 单击“查找主机地址”根据主机名查找主机地址(IP 地址或者 MAC 地址)。
4. 单击“确定”返回到“网络对象”页。
4.1.3 添加域
网络对象可以定义为一组共用同一后缀的站,该后缀就是域名,例如 .net(网络操作)、.com(商业)、t.com(例如可以包括 microsoft.com,等等)。
添加“域”网络对象:
1. 从“选择网络对象类型”对话框中选择“DOMAIN”,然后单击“添加”。
2. 在“名称”框中键入域的描述名称,例如 magazine domain。如图所示。
3.在“域后缀”框中键入域和标识域的后缀,例如 Playboy.com
4. 单击“确定”返回到“网络对象”页。
注意:如果用域网络对象定义阻塞类型规则,那么在第一次探测到规则匹配时阻塞器可能无法工作。
4.1.4 添加工作站用户
用户可以定义为在规则中使用的网络对象。例如,某个规则可以定义为记录或阻塞特定用户接收的电子邮件。
定义工作站用户属性:
1. 根据“添加或修改网络对象”中的步骤选择工作站用户网络对象。“工作站用户属性”对话框将出现。如图所示。
2. 在“名称”框中键入标识用户的名称。
3. 在“授权”框中选择用户的类型。可以使用下面的选项:
l 任意: 这是默认选项,它代表任何已验证的用户。
l NT 域:代表域控制器验证的用户。
l RAS: 代表远程访问服务验证的用户。
l eTrust SSO:由eTrust SSO验证的用户。
4. 在“类型”中选择为“单个工作站”或“组”类型。
5. 输入域和用户名。
6. 单击“确定”保存改动。
4.2 定义服务
在定义服务时,需要决定入侵检测 (eTrust Intrusion Detection)监控或阻塞的服务。
请按照下面的指导来添加新服务:
1. 从“设置”菜单中选择“定义”。“定义”对话框将出现。
2. 在“定义”对话框中单击“服务”选项卡,然后单击“添加”。如图所示。
3. 在“名称”框中键入新名称。
4. 在“协议”框中选择“TCP”或“UDP”协议。
5. 在“端口”框中输入该服务使用的端口号或者端口号范围。单击“添加”。
6. 对不需要的端口,可在选择端口后单击“删除”。
7. 在“分析”框中滚动找到相关的分析器。
注意:“Default”表示已经为所有服务预定义了选项的分析器。
8. 如果传输的数据是文本格式,那么请选择“原文协议”。如果数据是二进制格式,请清除复选框。
9. 单击“确定”。
4.3 定义规则类型
规则类型定义了入侵检测 (eTrust Intrusion Detection) 在会话中搜索的标准。
4.3.1 添加和修改规则类型
请按照下面的指导来添加或修改规则类型:
1. 从“设置”菜单中选择“定义”。
2. 在“定义”对话框中选择“规则类型”选项卡。单击“添加”可以显示“规则类型”对话框。如图所示.
点击“添加”,出现规则类型对话框。如图所示。
3. 在“名称”框中键入标识规则类型的名称,或者修改现有的名称。
4. 在“服务”框中选择服务。单击“服务”按钮可以添加新服务或者修改现有服务的属性。
5. 在“规则类型标准”框中选择标准。
6. 如该标准需要参数,请选择“参数”按钮以输入规则类型标准的详细信息。
7. 单击“确定”返回到“类型”对话框。
4.3.2 定义规则类型标准
规则标准的类型有许多。某些标准可以作用于多个服务,而某些则是特定于服务的。根据选择的标准不同,“参数”按钮也会相应地变为有效或无效。选择该按钮可以定义特定标准的参数。本节内容是对参数定义步骤的说明。
设置匹配字符串参数
在设置规则类型标准的时候,可以输入入侵检测 (eTrust Intrusion Detection)在会话中搜索的特定文本串。例如,入侵检测 (eTrust Intrusion Detection) 可以在会话的主题或标题,或者在文件扩展名中搜索某个文本串。
设置匹配字符串参数:
1. 请按照“定义规则类型”中的步骤来定义规则类型标准。
2. 选择标准类型,然后单击“参数”。出现“匹配字符串参数”对话框。如图所示。
3. 在“输入新字符串”框中键入入侵检测 (eTrust Intrusion Detection) 将搜索的文本。
4. 单击“添加”。文本将出现在“要匹配的字符串”框中。您可以添加多个文本串。
5. 要删除不需要的文本串,需在“要匹配的字符串”框中选择字符串,然后单击“删除”。
6. 选择“大小写匹配”以区分大小写字母。
7. 选择“全字匹配”可以匹配整个单词而不只是部分。
8. 选择“搜索客户数据”和/或“搜索服务器数据”以指定必须搜索的 TCP/IP 会话部分。
9. 单击“确定”应用改动。
4.4 定义操作
操作是当会话匹配规则中的条件时发生的响应。入侵检测 (eTrust Intrusion Detection) 包含了许多预定义的操作,用户也可以创建自定义操作。
添加和修改操作
请按照下面的指导来添加或修改操作。
定义操作:
1. 从“设置”菜单中选择“定义”。在“定义”对话框中选择“操作”选项卡。如图。
2. 单击“添加”或“修改”。“操作属性”对话框将出现。
3. 按照后面的指导来定义操作属性。
下面以几个操作的定义来举例说明。
4.4.1 在“树”窗口中记录事件详细信息
当选择在“树”窗口中记录事件的详细信息后,用户可以决定日志是否应该包括会话的内容,以及内容是否应该加密或签名。如果选择包括会话内容,那么当在“树”窗口中选择会话后,应该能够在“视图”窗口中看到这些详细信息。
要记录会话的详细信息:
1. 在“操作属性”对话框中选择“日志”作为操作类型。如图。
2. 选择“显示会话内容”以显示会话内容。
3. 选择“加密日志文件”可以将日志文件的内容加密。
4. 选择“日志文件签名”可以将日志文件的内容签名。
5. 检查日志文件的完整性,方法是在“视图”窗口中显示会话的详细信息,然后从“上下文”菜单中选择“检查日志文件”。
4.4.2 阻塞会话
该操作将阻塞会话。用户需键入要入侵检测 (eTrust Intrusion Detection)发送给会话发起者的消息。如果不在此输入消息,那么入侵检测 (eTrust Intrusion Detection) 将发送默认的阻塞消息。
定义阻塞属性:
1. 在“操作属性”对话框中选择“阻塞” 操作类型。
2. 在“阻塞消息”框中输入消息,会话被阻塞时可以显示该消息。
3. 选择“传送通过”可以取消已定义客户和服务器的阻塞规则。如果要阻塞除特定站之外的所有站,那么该选项就很有用。这时必须定义两个规则:第一个规则启用“阻塞”和“传送通过”,第二个使用“阻塞”操作(规则必须按此顺序)。
4. 单击“确定”。
4.4.3 发送电子邮件消息
当发生事件时,您可以选择发送电子邮件通知。入侵检测 (eTrust Intrusion Detection) 用称为“发件箱”的组件来发送电子邮件消息。
定义电子邮件消息的属性:
1. 在“操作属性”对话框中选择“电子邮件”。如图所示。
2. 在“发给”框中键入收件人的电子邮件地址,然后单击“添加”。可以指定多个电子邮件地址。也可选中一项后,单击“删除”,从列表中删除收件人。
3. 在“主题”框中键入电子邮件消息的主题。
4. 在“正文”框中键入电子邮件消息的内容。单击“标记”按钮可以添加符号。
5. 单击“确定”接受改动。
4.4.4 归档日志文件
该操作归档和输出日志文件内容以便在入侵检测 (eTrust Intrusion Detection) 日志浏览程序中使用。
1. 在“操作属性”对话框中选择“归档日志文件”。如图所示。
2. 如果要查看日志内容,请选择“输出日志内容”。否则只输出标题。
3. 单击“确定”。
4.4.5 在定义操作时使用标记
在为规则定义操作时,用户可以在当规则匹配时发送的消息中添加标记。标记由代码组成,该代码自动在消息中包括与规则有关的特定数据。这样就可以定义应用于多个规则的单一操作,原因是消息可以显示特定于匹配规则的信息。
添加标记的步骤如下:
1. 选择行为类型。
2. 将光标放在文本框中,然后单击鼠标右键显示可用标记列表和编辑选项。也可以单击“标记”按钮。
3. 从出现的列表中选择要显示在文本中的标记。
4.5 定义入侵检测 (eTrust Intrusion Detection)用户
由于入侵检测 (eTrust Intrusion Detection) 所收集信息的敏感特性,只有网络管理员能够访问入侵检测 (eTrust Intrusion Detection) 的所有功能。但是,管理员可以允许其他用户查看入侵检测 (eTrust Intrusion Detection) 所匹配的规则细节。在登录时,入侵检测 (eTrust Intrusion Detection) 将要求输入用户名和密码。
4.5.1 定义用户:
1. 从“设置”菜单中选择“定义”。
2. 在“定义”对话框中选择“用户”选项卡,然后单击“添加”。
3. 在“用户属性”对话框中输入用户名,然后定义用户的密码。
4. 单击“确定”。 出现“许可”对话框。
5. 在“许可”对话框中选择特定用户可以查看的规则。
6. 点击“确定”。新用户将出现在“定义”对话框的“用户”页上。
7. 要修改已有用户可以查看的规则列表,需先在“用户”页中选择用户,然后单击“许可”。
8. 要修改已有用户,需先选择用户,然后单击“删除”。
注意:也可以通过双击规则窗格上的“合格用户”选项卡来访问“用户”页。
4.5.2 定义用户属性
为每个合格的入侵检测 (eTrust Intrusion Detection) 用户定义用户名和密码步骤为:
1. 从“设置”菜单中选择“定义”。
2. 在“定义”对话框中选择“用户”选项卡。单击“添加”。
3. 在“用户属性”对话框中输入用户名。如图所示。
4. 在“密码”框中键入用户密码。
5. 在“确认密码”框中重新键入密码。
4.5.3 定义用户许可
在“许可”对话框中可以定义特定用户能够查看的规则。当用户登录时,他们只能在“树”窗口中查看这些规则的细节。如果需要,管理员可以更改这些权限。
定义用户许可步骤如下:
1. 访问“许可”对话框的方法有两种:
l 对于新用户来说,在输入用户名和密码后“许可”对话框将出现。
l 对于现有用户来说,可以通过选择“设置”、“选项”来访问“许可”对话框。请选择用户,然后单击“许可”按钮。出现“Permission”对话框。
2. 单击“全选”可以选择所有规则,或者单击“清除”可以删除所有选择,然后可以逐个选择规则。
3. 在“浏览规则”框中可以选择查看所有已定义规则,或者只查看当前使用的规则。注:只有在规则窗格中修改了规则后该选项才有效。
4. 单击“确定”接受改动。回到“定义”对话框。
4.5.4 更改用户密码
只有管理员可以定义和删除用户, 但是用户可以更改管理员分配给他们的密码。
更改用户密码:
1. 用管理员分配的用户名和密码登录为用户。
2. 从“设置”菜单中选择“用户密码”。
3. 在“旧密码”框中键入旧密码。
4. 在“新密码”框中键入新密码。
5. 在“确认新密码”框中重新键入新密码。
6. 单击“确定”。
0
相关文章
关注我们
