第 2 章 安装入侵检测 (eTrust Intrusion Detection)
现在,您就可以准备运行入侵检测 (ETrust Intrusion Detection)了。它代表了最新一代的企业网络保护技术,提供了前所未有的访问控制级别、用户透明度、性能、灵活性、适应性和使用的方便性。您的组织可以在不引入任何故障可能性的情况下实现易于部署的网络保护解决方案。
首先简单概述一下入侵检测 (ETrust Intrusion Detection) 如何保护网络,然后开始快速安装和运行。
2.1 基本概念
入侵检测 (eTrust Intrusion Detection)代表了最新一代的企业网络保护技术,它提供前所未有的访问控制级别、用户透明度、性能、灵活性、适应性和使用的方便性。用户可以很容易的实现网络保护解决方案的部署。
入侵检测 (eTrust Intrusion Detection) 如何处理网络流量
在激活之后,入侵检测 (eTrust Intrusion Detection) 可以侦听通过网络的所有 TCP/IP 流量。入侵检测 (eTrust Intrusion Detection) 能够发现网络上针对特定服务器或者整个网络的攻击。用入侵检测 (eTrust Intrusion Detection) 可以查看与可疑会话有关的所有活动日志、获取有关的统计数据和详细报告,以及通过重新构造会话来完全查看特定用户所做的事情或者进行攻击分析。在遇到问题时,入侵检测 (eTrust Intrusion Detection) 可以实时响应, 如通过电子邮件、传真等通知用户。与防火墙类似,入侵检测 (eTrust Intrusion Detection) 采用了 Computer Associates 的专利技术“unobtrusive monitoring and blocking”来阻塞非法通讯。
入侵检测 (eTrust Intrusion Detection) 处理网络流量的方式如下:
1. 入侵检测 (eTrust Intrusion Detection) 检查网络上的每个新会话,以确定它是否被定义为排除的服务。
2. 如果它是被排除的服务,入侵检测 (eTrust Intrusion Detection) 将忽略该会话。
3. 如果它不是被排除的服务,那么会话将包括在统计数据中,然后继续。
4. 入侵检测 (eTrust Intrusion Detection) 检查会话是否匹配预定义的规则。
5. 如果第一个规则不符合,程序将检查第二个规则,依次类推,直到符合某个规则或者检查完所有规则为止。规则检查的顺序如下:
l 入侵企图探测规则
l URL 访问监控和控制规则
l 监控/阻塞/警告规则
l 内容检查规则
6. 入侵检测 (eTrust Intrusion Detection) 将根据规则检查每个会话直到会话终止或者出现匹配为止。
7. 如果出现匹配,那么就执行为该会话定义的行为,然后忽略匹配规则之后的其它规则。
下面的流程图为入侵检测 (eTrust Intrusion Detection) 处理网络流量的过程:
接收到的数据
忽略
排除的服务
匹配规则
操作
忽略
2.2 安装
2.2.1 安装需求
入侵检测 (eTrust Intrusion Detection) 可以方便地安装在任何运行 Windows 95/98、Windows NT 4.0 或 Windows 2000 并配备了连接到局域网的网卡的个人计算机上。安装过程是即插即用的过程, 安装完成后,入侵检测 (eTrust Intrusion Detection) 将立即根据默认规则监控网络流量。
软件需求
Windows 95 (OSR 2)、Windows 98、Windows NT 4.0(SP3 以上)或者 Windows 2000。
最低硬件需求
l 200MHz 奔腾 CPU
l 64MB RAM(建议 128 MB)
l 200MB 空闲磁盘空间
l 至少一个标准网络适配器。请参见附录 A 中的已知兼容和不兼容 NIC 卡列表。
l CD-ROM
2.2.2 安装入侵检测 (eTrust Intrusion Detection)
注意:
在安装入侵检测 (eTrust Intrusion Detection) 之前,如果系统为Windows NT 4.0, 请确保在计算机上安装了 Service Pack 3或更高版本, 如果为Windows 95, 确保为 OSR 2 或更高。
要在 NT 计算机上安装入侵检测 (eTrust Intrusion Detection),必须有管理员权限。如没有,那么系统将出现消息告诉您无法安装程序。
入侵检测 (eTrust Intrusion Detection) 也可以作为服务安装在 NT 机器上。
本安装步骤对 Windows 95/98、Windows NT 和 Windows 2000 都是类似的。
1. 请插入入侵检测 (eTrust Intrusion Detection) 光盘。
2. 自动弹出入侵检测 (eTrust Intrusion Detection)的类似资源管理器的安装界面.
3. 选择“入侵检测 (eTrust Intrusion Detection)产品”下“入侵检测 (eTrust Intrusion Detection)”, 开始安装。
4. 在安装的最后将出现提示,询问是否要将入侵检测(eTrust Intrusion Detection)作为 NT 服务运行。选择“是”或者“否”。
如果选择“是”,那么将出现 NT 帐户对话框。在“用户名”框中,从下拉列表中选择 NT 用户名。在“密码”框中键入 NT 用户密码。重新输入密码以确认。单击“确定”。安装过程继续。
2.3 启动入侵检测 (eTrust Intrusion Detection)
在安装完入侵检测 (eTrust Intrusion Detection) 后,请按照下面的步骤运行程序。
1. 注册产品,有关进一步细节,请参见后面的“注册软件”一节。
2. 选择“开始”à“程序”à“入侵检测”à“入侵探测”,启动入侵检测。
3. “入侵检测 (eTrust Intrusion Detection) 登录”对话框出现。
4. 如果是第一次运行,应该作为管理员登录,此时没有密码,单击“确定”。出现警告消息。
5. 阅读消息后,单击“继续”,“入侵检测 (eTrust Intrusion Detection)”主界面出现并立即开始根据默认设置跟踪。在进行跟踪时,在状态栏中显示“正在跟踪”,在“树”和“统计”窗口中可以看到跟踪记录的数据。
6. 下一步应该是定义管理员密码,然后定义入侵检测 (eTrust Intrusion Detection) 用户。该过程将在本章后面说明。
2.5 定义入侵检测 (eTrust Intrusion Detection) 密码
由于入侵检测 (eTrust Intrusion Detection)收集数据的敏感性,最好为允许访问的用户定义密码。管理员对入侵检测 (eTrust Intrusion Detection) 有无限的访问权,并且可以查看数据、创建规则和更改设置。管理员也可以授予其他用户权限,以便其查看特定数据。只有管理员可以更改管理员密码,其他用户只可以更改他们自己的密码。请参见第 4 章中的“更改用户密码”,以获得更多详细情况。
2.5.1 定义管理员密码
在第一次启动入侵检测 (eTrust Intrusion Detection) 时,您将自动作为管理员登录,没有密码。为安全起见,下一步应该是定义管理员密码,然后定义其他授权用户并为他们指定密码。在每次会话的最后,应将当前用户注销,入侵检测 (eTrust Intrusion Detection) 会最小化。当下一个用户要使用入侵检测 (eTrust Intrusion Detection) 时,需要输入他的用户名和密码。
定义管理员密码:
1. 作为管理员登录。
2. 从“设置”菜单中选择“定义”。
3. 在“定义”对话框中选择“用户”选项卡。
4. 选择“管理员”,然后单击“密码”。如图所示。
5. 在“管理员密码”对话框中键入旧密码。
6. 键入新密码,然后重新键入新密码进行确认。
7. 单击“确定”接受新参数。
友好提示 — 也可以在“设置”菜单中选择“用户密码”命令。
2.6 安装检验
在第一次启动入侵检测 (eTrust Intrusion Detection) 后,应该作为没有密码的“管理员”登录。然后入侵检测 (eTrust Intrusion Detection) 将根据默认的安全策略立即开始跟踪网络活动。
检验安装是否成功:
检查“正在跟踪”是否显示在状态栏中(在屏幕的右下方),而且数据正在添加到“统计”窗口的统计数据中。此外,跟踪事件的详细情况应该显示在左窗口中。
如果不是这样,请检查下列情况:
1. 确保已经连接到网络。
2. 确保在本地网络上有 TCP/IP 流量。在安装之后,入侵检测 (eTrust Intrusion Detection) 会立即开始检查入侵企图和可疑网络活动,并记录所有电子邮件、Web 浏览、新闻、Telnet 和 FTP 活动。得到的数据将显示在“统计”和“树”窗口中,并且在状态栏中显示“正在跟踪”。
关注我们
