作者：    来源：    点击：    日期：2007-8-5 12:07:27   

　　四、 系统部署及运行
　　本系统被部署在网络服务器所处的DMZ区，用来监控来自互联网和内网的网络流量。负责监控的网络探测器Snort使用无IP地址的网卡进行监听以保证网络入侵检测系统自身的安全；通过另一块网卡接入内网并为其分配内网所使用的私有IP地址，以便从内网访问分析控制台程序ACID。通过启用Apache服务器的用户身份验证和访问控制机制并结合SSL以保证系统的访问安全。
　　另外，布署网络入侵检测系统的关键是应当保证系统的监听网卡所连接的设备端口能够"看到"受监控网段的全部网络流量。在共享式网络中这不是问题，但在交换式网络中由于交换机的每个端口拥有自己的冲突域，因此无法捕获除广播和组播之外的网络流量。这就要求交换机提供监控端口，本网络使用的是Cisco Catalyst系列交换机，其监控端口是通过端口的SPAN特性来实现的，用交换机管理软件启用该特性即可。
　　为了运行该系统，以超级用户身份执行下列命令： 
　　#/etc/init.d/mysql.server start
　　#/usr/local/bin/snort -c /etc/snort.conf -l /var/log/snort -I elx0 -D
#/usr/local/bin/apachectl sslstart　
　　这样，网络入侵检测系统已开始运行，然后在内网的管理PC机上启动浏览器，在地址栏中键入：https://192.168.1.8/acid-0.9.6b21/ 其中192.168.1.8是为该网络入侵检测系统的内网网卡分配的IP地址。首次运行时，控制台会提示用户对入侵事件数据库进行扩展，按照提示扩展完毕后，控制台主界面出现。

主界面里显示的信息包括：触发安全规则的网络流量中各种协议所占的比例、警报的数量、入侵主机和目标主机的IP地址及端口号等；
　　
　　ACID控制台还提供强大的搜索功能，用户可根据时间、IP地址、端口号、协议类型以及数据净荷（payload）等多种条件的灵活组合在入侵事件数据库中进行查询，以帮助网管人员进行分析；
　　
　　入侵特征库是否丰富对一个网络入侵检测系统非常重要，本系统同时支持多种有影响的入侵特征库包括CERT/CC、arachNIDS和CVE等。在警报中除了列出入侵事件的命名外还有到相应入侵特征库的Web链接，如果某个警报存在多个命名则同时予以列出以便参考，网络管理人员可通过这些链接去查找在线入侵特征库以便获得关于特定入侵事件的更加详细的信息和相应的解决办法；
　　
　　应用ACID提供的制图功能可以直观地对网络入侵事件进行分析，而生成的图表又可进一步丰富网管人员编制的报告。例如ACID分析控制台可以按用户指定的时间段生成入侵事件的频率图率）
　　
　　五、 结束语
　　
　　网络安全是一个复杂的问题，只依靠一、两种网络安全产品是不能解决问题的。必须综合应用多种安全技术，并将其功能有机地整合到一起进而构成统一的网络安全基础设施。而安全产品并不是非买不可，当前在互联网上以开放源代码为代表的免费资源非常多，我们应当努力去利用。也许有人会怀疑这种资源的可靠性，请不要忘记互联网的三大应用都在由开放源代码软件支撑着：互联网上超过半数的站点是在运行Apache；BIND完成着几乎全部的域名解析；说不定你的电子邮件正通过sendmail程序在互联网上传递。

 

首页 上一页 [1] [2] [3]  下一页 尾页