2024年3月12日发(作者:)
天融信入侵检测系统
安装手册
天融信
TOPSEC®
北京市海淀区上地东路1号华控大厦100085
电话:+8610-82776666
传真:+8610-82776677
服务热线:+8610-8008105119
版权声明
本手册中的所有内容及格式的版权属于北京天融信公司(以下简
称天融信)所有,未经天融信许可,任何人不得仿制、拷贝、转译或
任意引用。
版权所有 不得翻印 ©2013 天融信公司
商标声明
本手册中所谈及的产品名称仅做识别之用。手册中涉及的其他公
司的注册商标或是版权属各商标注册人所有,恕不逐一列明。
TOPSEC® 天融信公司
信息反馈
1
1.1
1.2
1.3
1.4
1.5
2
目 录
前言 .................................................................................................................................................. 1
文档目的 ....................................................................................................................................... 1
读者对象 ....................................................................................................................................... 1
约定 ............................................................................................................................................... 1
相关文档 ....................................................................................................................................... 2
技术服务体系 ............................................................................................................................... 2
安装天融信入侵检测系统 .............................................................................................................. 3
2.1
系统组成与规格 ........................................................................................................................... 3
2.1.1
系统组成
................................................................................................................................ 3
2.1.2
系统规格
................................................................................................................................ 3
2.2
系统安装 ....................................................................................................................................... 3
2.2.1
硬件设备安装
........................................................................................................................ 3
2.2.2
检查设备工作状态
................................................................................................................ 4
2.3
登录天融信入侵检测系统 ........................................................................................................... 4
2.3.1
缺省出厂配置
........................................................................................................................ 5
2.3.2
通过
CONSOLE
口登录
........................................................................................................ 6
2.3.3
设置其他管理方式
................................................................................................................ 8
2.3.4
管理主机的相关设置
.......................................................................................................... 10
2.3.5
通过浏览器登录
.................................................................................................................. 10
2.4
恢复出厂配置 ............................................................................................................................. 11
3
典型应用 ........................................................................................................................................ 12
服务热线:8008105119 i
天融信入侵检测系统安装手册
1 前言
本安装手册主要介绍天融信入侵检测系统(即TopSentry)的安装和使用。通过阅读
本文档,用户可以了解如何正确地在网络中安装天融信入侵检测系统,并进行简单配置。
本章内容主要包括:
文档目的
读者对象
约定
相关文档
技术服务体系
1.1 文档目的
本文档主要介绍如何安装天融信入侵检测系统及其相关组件,包括设备安装和扩展模
块安装等。
1.2 读者对象
本安装手册适用于具有基本网络知识的系统管理员和网络管理员阅读,通过阅读本文
档,他们可以独自完成以下一些工作:
初次使用和安装天融信入侵检测系统。
管理天融信入侵检测系统。
1.3 约定
本文档遵循以下约定:
1)命令语法描述采用以下约定,
尖括号(<>)表示该命令参数为必选项。
方括号([])表示该命令参数是可选项。
竖线(|)隔开多个相互独立的备选参数。
黑体表示需要用户输入的命令或关键字,例如help命令。
斜体
表示需要用户提供实际值的参数。
2)图形界面操作的描述采用以下约定:
“”表示按钮。
服务热线:8008105119 1
天融信入侵检测系统安装手册
点击(选择)一个菜单项采用如下约定:
点击(选择) 高级管理 > 特殊对象 > 用户。
为了叙述方便,本文档采用了大量网络拓扑图,图中的图标用于指明天融信和通用的
网络设备、外设和其他设备,以下图标注释说明了这些图标代表什么设备:
文档中出现的提示、警告、说明、示例等,是关于用户在安装和配置天融信入侵检测
系统过程中需要特别注意的部分,请用户在明确可能的操作结果后,再进行相关配置操作。
文档中出现的接口标识eth1、eth2等,是为了表示方便,不一定与设备接口名称相对
应。
1.4 相关文档
《天融信入侵检测系统产品说明》
《天融信入侵检测系统用户手册》
1.5 技术服务体系
天融信公司对于自身所有安全产品提供远程产品咨询服务,广大用户和合作伙伴可以
通过多种方式获取在线文档、疑难解答等全方位的技术支持。
公司主页
/
在线技术资料
/support/
安全解决方案
/solutions/
技术支持中心
/support/
天融信全国安全服务热线
800-810-5119
服务热线:8008105119 2
天融信入侵检测系统安装手册
2 安装天融信入侵检测系统
本章介绍了安装入侵检测系统前的准备工作,以及入侵检测系统的物理安装过程,同
时介绍了几种登录入侵检测系统的方式,以便管理员对入侵检测系统进行管理。包括如下
主要内容:
天融信入侵检测系统的组成与规格
天融信入侵检测系统的安装
登录并管理天融信入侵检测系统
天融信入侵检测系统的出厂配置
2.1 系统组成与规格
2.1.1 系统组成
天融信入侵检测设备(硬件)
其他配套软件:具体请参见随机光盘的描述。
2.1.2 系统规格
天融信入侵检测系统不同型号产品的电源参数、环境规范、物理规格、执行标准和安
全规范及标准的内容可能会有所不同,具体请参见《天融信入侵检测系统产品说明》。
2.2 系统安装
2.2.1 硬件设备安装
一般遵循如下步骤安装硬件设备:
1)支架安装
机架式天融信入侵检测设备采用标准的19英寸机箱,可以安装固定在标准机柜中,
随机附件中有一对上架支架(侧耳),将其固定在天融信入侵检测设备上。
2)将天融信入侵检测设备置于机柜托架上
天融信入侵检测设备要求放在机柜的托架上,并适当调节机柜托架与天融信入侵检测
设备的相对位置,使天融信入侵检测系统的固定支架在垂直方向上受力较小。
3)本地一台管理主机通过CONSOLE线缆与天融信入侵检测设备的CONSOLE口连
接,供超级管理员进行初步配置。
服务热线:8008105119 3
天融信入侵检测系统安装手册
4)把天融信入侵检测设备的网络接口通过直通网络线与对应安全区域中的网络设备
相连接。
5)通过电源线连接天融信入侵检测设备和电源。
6)启动天融信入侵检测设备电源(电源开关位于设备后端)。
提示
请注意随机配件中直通线(Passthrough)和交叉线(Crossover)的使用方法:交叉线
用于通信主机间的直接连接,如天融信入侵检测设备与主机间的直接连接;直通线用
于天融信入侵检测设备和网络设备的连接,例如天融信入侵检测设备与交换机等的连
接。
用户可以根据需要安装扩展卡,关于扩展卡的安装请参考《TOPSEC扩展模块安装手
册》。
对于有扩展模块的IDS设备,设备面板上扩展卡位的标识名称为Eth1、Eth2、Eth3等。
扩展模块上的接口则以0、1、2、3„„的形式标识。安装模块后,TOS系统识别各接
口的名称为:扩展卡位标识+扩展模块的接口标识,例如Eth1卡位的接口2会被识别
为Eth12,其他接口以此类推。
2.2.2 检查设备工作状态
天融信入侵检测系统的硬件设备安装完成之后,就可以通电使用。在天融信入侵检测
系统的工作过程中,用户可以根据天融信入侵检测系统面板上的指示灯来判断天融信入侵
检测系统的工作状态,具体请见下表。
指示灯名称 指示灯状态描述
工作灯(Run) 当天融信入侵检测系统进入工作状态时,工作灯闪烁。
不启用双机热备时,主从灯处于熄灭状态;在启动双机热备时,主从灯亮的时
候,代表这台设备处于工作模式;反之,如果主从灯处于熄灭状态,则该天融
主从灯(M/S) 信入侵检测系统工作在备份模式。
说明:
部分型号的入侵检测系统设备没有“主从灯”。
管理灯(MGMT) 当网络管理员登录天融信入侵检测系统时,管理灯点亮。
日志灯(Log)
当有日志记录动作发生时,且前后两次日志记录发生的时间间隔超过1秒钟
时,日志灯会连续闪烁4次。
2.3 登录天融信入侵检测系统
网络管理员可以通过多种方式管理天融信入侵检测系统。
管理方式包括:
本地管理,即通过CONSOLE口登录天融信入侵检测系统进行管理;
远程管理,使用浏览器、SSH、TELNET等多种方式登录天融信入侵检测系统进
行配置管理。
服务热线:8008105119 4
天融信入侵检测系统安装手册
第一次使用天融信入侵检测系统,管理员可以通过CONSOLE口以命令行方式、通
过浏览器以WEBUI方式进行配置和管理。在下面几节中,将会介绍如何通过CONSOLE
口登录到天融信入侵检测系统并配置其他几种管理方式。其中,WEBUI管理方式是最方
便、也是最常用到的管理方式。
2.3.1 缺省出厂配置
天融信入侵检测系统在出厂时使用了以下默认配置:
管理用户
系统参数
管理员用户名
管理员密码
设备名称
最大登录失败次数
最大并发管理数
同一用户最大并发管理数
WEBUI超时时间
MGMT口
HA口
直连口
WEBUI管理(通过浏览器管理入侵
检测系统)
GUI管理(通过TOPSEC管理中心)
SSH(通过SSH远程登录管理)
升级(通过TOPSEC管理中心对天
融信入侵检测系统进行升级)
PING(PING到天融信入侵检测系统
的接口IP地址或VLAN虚接口的IP
地址)
其他服务
地址段名称
地址段范围
区域名称
绑定属性
权限
日志服务器IP地址
日志服务器开放的日志服务端口
攻击检测规则库
病毒检测规则库
应用识别规则库
URL过滤规则库
入侵检测策略
superman
talent
TopsecOS
5
5
5
180秒
eth0, IP:192.168. 1.254/24
eth1
eth2/10, eth3/11
允许来自MGMT口的服务请求
允许来自MGMT口上的服务请求
允许来自MGMT口上的服务请求
允许来自MGMT口上的服务请求
允许来自MGMT口上的服务请求
物理接口
服务访问
控制
地址资源
区域资源
日志
缺省系统
规则库
策略
禁止
any
0.0.0.0 - 255.255.255.255
area_eth0
eth0,对应MGMT接口。
允许
IP:192.168. 1.253
UDP的514端口
有,含1年规则库升级服务。
无。
有。
无。
源:any;目的:any;攻击检测规则:
精选规则-默认动作;作用:设备只要通
电后,接入直连口eth2/10和eth3/11即
可进行入侵检测,无须其他配置。
服务热线:8008105119 5
天融信入侵检测系统安装手册
2.3.2 通过CONSOLE口登录
通过CONSOLE口登录到天融信入侵检测系统,可以使用命令行方式对天融信入侵
检测系统进行一些基本的设置,用户在初次使用天融信入侵检测系统时,通常都会登录到
天融信入侵检测系统更改入侵检测系统的出厂配置(如接口IP地址等),以便在不改变
现有网络结构的情况下将天融信入侵检测系统接入网络中。这里将详细介绍如何通过
CONSOLE口连接到天融信入侵检测系统。
1)将CONSOLE口控制线的RJ45接口端和天融信入侵检测设备的CONSOLE口相
连接,DB-9接口端和计算机的串口(这里假设使用COM1)相连接。(部分产品无RJ45
接口形式的Console口,故需要使用DB9-DB9 Console控制线)。
2)在计算机中建立天融信入侵检测系统和管理主机的连接。
选择 开始 > 程序 > 附件 > 通讯 > 超级终端,系统提示输入新建连接的名称。如
下图所示。
用户可以输入任何名称,这里假设名称为topsec,输入名称确定后,提示选择使用的
接口(假设使用COM1),如下图所示。
服务热线:8008105119 6
天融信入侵检测系统安装手册
点击“确定”按钮后,可以对COM1的属性进行设置,如下图所示。
用户可以点击“还原为默认值”按钮,也可以按照以下参数设置COM1口的属性。
参数
每秒位数
数据位
奇偶校验
停止位
数据流控制
值
9600
8
无
1
无
服务热线:8008105119 7
天融信入侵检测系统安装手册
成功连接到天融信入侵检测系统后,超级终端界面会出现输入用户名和密码提示。
直接输入默认的用户名/密码(superman/talent),即可登录到天融信入侵检测系统。
3)登录后,用户便可使用命令行方式对天融信入侵检测系统进行配置管理等操作。
提示
天融信入侵检测系统对于用户名和密码大小写敏感。
本地管理员具有天融信入侵检测系统所有管理权限,为超级管理员。
2.3.3 设置其他管理方式
从CONSOLE口本地登录天融信入侵检测系统后,管理员可以通过命令行对入侵检
测系统进行一些必要的设置,如更改、添加接口IP,添加其他的远程管理方式(包括
“WEBUI管理”、“TELNET”和“SSH”),方便对天融信入侵检测系统的管理维护。
本节将以设置WEBUI管理方式为例介绍如何使用命令行方式添加其它管理方式。另
外,管理员还可以使用浏览器通过Eth0(或MGMT)接口对入侵检测系统进行设置。这
要求管理主机与Eth0(或MGMT)的缺省出厂IP处于同一网段。
2.3.3.1 设置接口IP地址
用户可通过天融信入侵检测系统的任一物理接口远程管理天融信入侵检测系统,但是
在此之前,管理员必须为此物理接口配置IP地址,作为远程管理天融信入侵检测系统的
管理地址。命令行语法如下:
network interface
参数说明:
string:天融信入侵检测系统物理接口名称,字符串,例如eth10。
ipaddress:IP地址,如192.168.91.22。
netmask:子网掩码,如255.255.255.0。
2.3.3.2 指定管理方式
管理员可以为已定义的IP地址(或子网、地址段)指定其可使用的远程管理方式。
在命令行中可以使用pf service命令指定管理方式。命令行格式如下:
pf service add name
相关参数说明:
参数 说明
服务热线:8008105119 8
天融信入侵检测系统安装手册
参数 说明
增加一条服务访问规则。
选择TOS设备开放的服务名。
通过图形界面访问设备。
开放SNMP服务。
开放SSH服务。
开放监控服务。
开放PING服务。
通过TELNET访问设备。
开放IDS服务。
开放NTP服务。
开放通过TOPSEC管理中心升级入侵检测系统的服务。
开放通过WEBUI管理天融信入侵检测系统的服务。
选择允许服务请求来自哪个区域,只能从现有区域中选择一个。。
天融信入侵检测系统网络区域名称(字符串)。
设定允许访问的地址资源ID号。
数值,必须是已经定义的主机、子网或范围地址资源的ID号。
设定允许访问地址资源名称。
字符串,必须是已经定义的主机、子网或范围地址资源名称。
add
name
gui
snmp
ssh
monitor
ping
telnet
tosids
ntp
update
webui
area
string
addressid
number
addressname
string
2.3.3.3 设置管理方式实例
下面是个简单的配置实例,用以说明如何设置天融信入侵检测系统的WebUI管理方
式:
1)为天融信入侵检测系统的物理接口Eth10配置IP地址192.168.91.88,子网掩码是
255.255.255.0,此地址将作为天融信入侵检测系统的管理地址:
进入network组件
配置Eth10 接口IP
topsec#
network
k#
interface
eth10
ip
add
192.168.91.88
mask
255.255.255.0
2)定义一个区域资源“webui-area”,并设置其属性为eth1:
进入define组件
k#
exit
topsec#
define
配置Eth10口所属区域
#
area add name
webui-area
attribute
eth10
access
on
3)定义一个主机资源“manage-host”,地址是192.168.91.250,允许此地址远程管
理天融信入侵检测系统:
服务热线:8008105119 9
天融信入侵检测系统安装手册
保持define组件
定义管理主机资源
#
#
host add name
manage-host ipaddr
192.168.91.250
4)设置从192.168.91.250这个IP可以浏览器远程管理该入侵检测设备:
进入pf组件
#
exit
topsec#
pf
配置WebUI服务
#
service add name
webui
area
webui-area
addressname
manage-host
2.3.4 管理主机的相关设置
在天融信入侵检测系统上成功添加管理方式后,还需要在管理主机进行必要设置才能
远程管理入侵检测系统。下面简要说明了不同管理方式的管理主机的要求:
SSH,需要SSH软件,如PUTTY等,需要设置连接地址为天融信入侵检测系统管理
地址;
WEBUI,需要在管理主机安装浏览器,并进行必要的配置。
提示
管理主机的浏览器需支持SSLv2.0、SSLv3.0 或TLSv1.0协议中的任意一种。
天融信入侵检测系统支持浏览器包括IE和Mozilla firefox。
使用前需确认浏览器选项中cookie相关选项打开。
2.3.5 通过浏览器登录
管理员在管理主机的浏览器上输入天融信入侵检测系统的管理URL,例如:
192.168.1.254
,弹出如下的登录页面。
服务热线:8008105119 10
天融信入侵检测系统安装手册
输入用户名密码后(天融信入侵检测系统默认出厂用户名/密码为:superman/talent),
点击“登录”,就可以进入管理页面。
提示
在输入URL时要注意以“”作为协议类型,例如192.168.1.254。
天融信入侵检测系统对于用户名和密码大小写敏感。
2.4 恢复出厂配置
系统除了提供上节所述的设备配置维护功能外,还提供了恢复出厂默认配置的功能,
以方便用户重新配置设备。恢复出厂配置后,设备的网络接口地址可能会改变,配置信息
会被清除,进而导致失去连接,请用户提前做好准备。
恢复出厂配置的具体操作方法如下:
命令行方式
通过CONSOLE口、TELNET或者SSH方式登录天融信入侵检测系统后,录入如下
命令:
system config reset
WEBUI方式
1)通过浏览器登录天融信入侵检测系统后,选择 系统管理 > 维护,点击“配置维
护”页签,出现如下页面。
2)点击“恢复配置”按钮,经用户确认后,系统恢复出厂配置并自动重启,此时用
户与天融信入侵检测系统的连接断开。
服务热线:8008105119 11
天融信入侵检测系统安装手册
3 典型应用
面对复杂多变的网络环境,企业不仅需要有针对重点区域的防护,还需要针对内部整
个网络的全面防护。此时就需要在企业网络的出入口和重点服务器处分别部署天融信入侵
检测系统,这样可以很好地保护企业的重要信息资产、提高企业网络整体的安全水平。部
署示意图如下。
服务热线:8008105119 12
天融信入侵检测系统安装手册
声明:
1.本手册所提到的产品规格及资讯仅供参考,有关内容可能会随时更新,天融信恕不另行通
知。
2.本手册中提到的产品功能或性能可能因产品具体型号、配备环境、配置方法不同而有所差
异,此可能产生的差异为正常现象,产品功能和性能请以产品说明书为准。
3.本安装手册中的安装方法、步骤为天融信建议使用,并非唯一和必须的安装途径,请客户
参考使用。
4.本手册中没有任何关于其他同类产品的对比或比较,天融信也不对其他同类产品表达意见,
如引起相关纠纷应属于自行推测或误会,天融信对此没有任何立场。
5.本手册中提到的信息为正常公开的信息,若因本安装手册或其所提到的任何信息引起了他
人直接或间接的资料流失、利益损失,天融信及其员工不承担任何责任。
服务热线:8008105119 13
发布评论