2023年7月8日发(作者：)

安全源自未雨绸缪，诚信贵在风雨同舟

产品认证工程师培训实验手册

---入侵检测系统

启明星辰信息技术有限公司 培训认证部

启明星辰信息技术有限公司 第 1 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

为了更好的方便用户使用和配置天阗6.0入侵检测系统，我们为用户提供了以下实际使用环境中的实验，每个案例都是很典型的实例。包括以下内容：

实验1：通过超级终端登陆探测引擎,并进行配置

实验2：对控制中心进行基本配置操作

实验3：在显示中心添加树形窗口，可以查看不同安全级别的事件发生的目的IP、源IP及事件的名称。

实验4：使用策略向导生成一个新策略，在策略中不包含TFTP、FINGER、RLOGIN协议；危险级别只包含高级事件、中级事件两类。

实验5：生成这三天综合报表；生成危险级别_目的IP地址的交叉报表。

实验6：设置每月自动备份日志。

启明星辰信息技术有限公司 第 2 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

目 录

实验1......................................................................................................................................................4

实验2....................................................................................................................................................10

实验3....................................................................................................................................................16

实验4....................................................................................................................................................18

实验5....................................................................................................................................................23

实验6....................................................................................................................................................26

启明星辰信息技术有限公司 第 3 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

实验1：

实验题目：通过超级终端登陆探测引擎,并进行配置

实验目的：使参训人员了解天阗6.0入侵检测系统的探测引擎如何通过超级终端登陆并进行相关配置

实验步骤：

一、

识别标识

网络引擎上一共有三种用途的信号接口和一个USB端口，他们的说明如下：

：超级终端的连接端口；

：硬件引擎的数据包监听/串接端口，连接交换机的镜像端口；

：硬件引擎的管理控制端口，主要用于与控制台通讯；

: 硬件引擎的USB端口，主要用于引擎系统软件的升级。

二、

超级终端安装及设置

1、启动超级终端(以windows 2000 advanced server为例)。如图1-1所示：

图1-1

2、新建连接名称—输入相应名称。如图1-2所示：

启明星辰信息技术有限公司 第 4 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

图1-2

3、选择连接时使用的COM口，根据串口线所连接到控制中心计算机上具体的COM口号来确定选择哪个COM口。如图1-3所示：

图1-3

4、端口设置

选择“还原为默认值”

启明星辰信息技术有限公司 第 5 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

图1-4

三、

天阗网络引擎配置

1．天阗网络引擎利用超级终端进行基本设置，配置好超级终端以后，回车进入探测引擎启动画面。如图1-5所示：

图1-5

2．输入用户名：venus，回车后再输入正确的密码(出厂密码设置为1234567)后进入如图1-6所示：

启明星辰信息技术有限公司 第 6 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

图1-6

在超级终端上显示的控制界面分成4个部分：配置选项、辅助选项、恢复选项和退出选项。每个选项下有不同的子项，以下依次对第二和第三子项进行操作演示：

【功能2】：更改ip地址/子网掩码

3．敲击“2”回车，然后选择你要更改ip地址/子网掩码的网口“3”并回车

图1-7

4．输入你要更改的ip地址和子网掩码：

启明星辰信息技术有限公司 第 7 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

图1-8

5．回车，然后确认修改敲击“1”

图1-9

6．回车完成修改，可以通过【功能1】选项进行查询，点击“1”回车

启明星辰信息技术有限公司 第 8 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

图1-10

【功能3】：

7．敲击“3”回车，并确认敲击“1”

图1-11

8．然后回车，完成密码的重置。

启明星辰信息技术有限公司 第 9 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

实验2

实验题目：对控制中心进行基本配置操作

实验目的：熟悉对控制中心进行基本配置操作包括：

创建一个管理员账号

在控制中心添加探测引擎，并保证控制中心正常连接；

向探测引擎下发策略“windows事件集”，并确定策略下发成功。

实验步骤：

创建一个管理员账号

一、用户管理员登录

1、调用用户管理工具

在开始-> 程序->启明星辰菜单中选择“天阗入侵检测与管理系统”→“用户管理中心”，界面显示如下图2-1所示：

图2-1 用户登录界面

2、登录

输入用户管理员的用户admin和默认密码venus60后进入如图2-2所示界面：

启明星辰信息技术有限公司 第 10 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

图2-2 用户管理与审计界面

二、添加用户

用户管理员登录系统后点击界面上的“添加用户”显示如下图2-3所示对话框：

图2-3 用户资料

在上图中必填信息：

（1）用户名：被分配用户用以登录的用户ID。

启明星辰信息技术有限公司 第 11 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

（2）所在组：被分配用户的权限组的设定。

（3）密码：为新分配用户添加的初始密码。

可以登录选项：选择是否允许此用户登录管理控制中心。如果此处不选择打勾，则新增用户不能登录和使用天阗入侵检测与管理系统。

其他部分：为新添加用户的详细个人信息。

上述信息填写完成并核实后点击“确定”，此时一个新的用户就被添加成功了。

注意：

（1）用户管理员在分配新的用户时必须设定密码，并且要告知其密码并提醒其更改密码。

（2）用户管理员必须填写完整的用户个人信息，以便于以后查验。

在控制中心添加探测引擎，并保证控制中心正常连接；

一、进入管理控制中心

单击开始→程序→启明星辰→管理控制中心，如果您是第一次使用天阗管理控制中心，会提示您输入序列号（序列号随安装光盘提供），此序列号是区分天阗系统单级管理和多级管理的标准，如果您输入的是正确的序列号，会出现登录界面，如图2-4所示：

图2-4管理控制中心登录界面

分别填入合法的用户名和用户口令后点击“确定”，进入管理控制界面。

二、添加探测引擎

1、在工具栏中单击“增加新的组件”按钮。

启明星辰信息技术有限公司 第 12 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

图2-5 增加新的组件

选择添加组件的类型并输入组件的IP地址，单击“确定”

2、工作日志窗口：您在这里可以查看控制中心启动后的工作状态和各种操作的进行状态，查看所要连接的网络引擎是否连接成功，如图2-6所示：

图2-6工作日志窗口

启明星辰信息技术有限公司 第 13 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

图2-7组件状态窗口

探测引擎与控制中心正常连接，那么在结构示意图窗口就会显示探测引擎与控制中心之间的连线由虚线变更为实线。说明探测引擎与控制中心已经正常连接。

三、如果探测引擎与控制中心连接不上，则需要查看以下相关内容：

网络物理连接是否正常；

网络层是否可以进行通信；

是否有不正常的关机行为发生；

是否更换了控制台或ＩＰ地址；

两者是否同在一个网络、若不则查看网关；

控制台参数设置是否有问题；

防火墙是否进行了阻断；

认证是否发生了问题；

使用串口查看引擎设置参数是否正确；

使用维护工具查看引擎工作是否正常；

初始化引擎；

向探测引擎下发策略“windows事件集”，并确定策略下发成功。

一、在组件状态选择“引擎”单击右键，打开下面窗口。选择“响应策略下发”选项。如图2-8所示：

图2-8“响应策略下发”窗口

启明星辰信息技术有限公司 第 14 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

二、选择“windows事件集”并点击“确定”，如图2-9所示：

图2-9

三、通过工作日志查看相关文件下发成功，如图所示：

图2-10

四、在“组件状态”中也可以查看到探测引擎的下发状况：

图2-11

启明星辰信息技术有限公司 第 15 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

实验3

实验题目：在显示中心添加树形窗口，可以查看不同安全级别的事件发生的目的IP、源IP及事件的名称。

实验目的：使参训人员掌握利用显示中心实时关注重点。

实验步骤：

1．在显示中心选择“系统”下拉菜单“系统设置”选项，打开下面窗口。

2．选择新的选项卡，点击修改名称。

启明星辰信息技术有限公司 第 16 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

3．依次选中可选项中的事件级别，点击->按钮将其选入显示项目。依次选中目的IP、源IP、事件重复此操作。

4．显示中心出现“目的IP”的树形窗口。就可以关注重点事件或IP。

启明星辰信息技术有限公司 第 17 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

实验4

实验题目：使用策略向导生成一个新策略，在策略中不包含TFTP、FINGER、RLOGIN协议；危险级别只包含高级事件、中级事件两类。

实验目的：使参训人员掌握如何使用策略向导制定策略。

实验步骤：

1．打开策略任务——>入侵检测——>策略编辑；点击策略向导。

2. 选中“按等级”页，把中级事件，高级事件全部选上。

启明星辰信息技术有限公司 第 18 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

启明星辰信息技术有限公司 第 19 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

3. 选中“按协议”页，分别把TFTP，FINGER，RLOGIN协议中所有事件全部去掉。

启明星辰信息技术有限公司 第 20 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

4．点击生成，为策略集命名，生成策略集。

启明星辰信息技术有限公司 第 21 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

启明星辰信息技术有限公司 第 22 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

实验5

实验题目：生成这三天综合报表；生成危险级别_目的IP地址的交叉报表。

实验目的：使参训人员掌握如何生成日志报表。

实验步骤：

1．打开日志管理——〉日志分析中心，选择界面左边的综合报表模板，双击这三天综合统计模板查看信息。

启明星辰信息技术有限公司 第 23 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

2．选择界面左边的交叉报表模板，双击点击危险级别_目的IP地址交叉统计（top10）查看信息。

启明星辰信息技术有限公司 第 24 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

启明星辰信息技术有限公司 第 25 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

实验6

实验题目：设置每月自动备份日志。

实验目的：使参训人员掌握日志备份。

实验步骤：

1．打开日志管理——〉日志维护。

2．点击自动维护，把“启动数据库自动维护”项选择上，操作的下拉框中选择自动备份项，设置备份频率每月，并且设置具体的备份日期。

启明星辰信息技术有限公司 第 26 页 共 27 页

安全源自未雨绸缪，诚信贵在风雨同舟

启明星辰信息技术有限公司 第 27 页 共 27 页