0112 IDS联动故障处理.docx
- 文档编号:16880349
- 上传时间:2023-07-19
- 格式:DOCX
- 页数:9
- 大小:138.38KB
0112 IDS联动故障处理.docx
《0112 IDS联动故障处理.docx》由会员分享,可在线阅读,更多相关《0112 IDS联动故障处理.docx(9页珍藏版)》请在冰点文库上搜索。
0112IDS联动故障处理
目录
12IDS联动故障处理12-1
12.1简介12-2
12.2故障处理过程12-2
12.2.1典型组网环境12-3
12.2.2配置注意事项12-3
12.2.3故障诊断流程12-4
12.2.4故障处理步骤12-6
12.3故障诊断工具12-6
12.3.1display命令12-6
12.3.2debugging命令12-7
插图目录
图12-1IDS联动组网图12-2
图12-2IDS联动典型组网图12-3
图12-3IDS联动故障诊断流程图12-5
12IDS联动故障处理
关于本章
本章描述内容如下表所示。
标题
内容
12.1简介
介绍进行IDS联动故障处理时用户所需的知识要点。
12.2故障处理过程
针对典型IDS联动组网环境,介绍配置IDS联动时要注意的事项,故障处理的流程和详细的故障处理步骤。
12.3故障诊断工具
介绍进行故障处理所需的故障诊断工具,包括使用display命令和debugging命令。
12.1简介
通常,Eudemon防火墙主要用来限制用户或信息进入特定的被严格控制的站点,监控可信任网络和不可信任网络之间的访问通道,以防止外部网络的危险蔓延到受保护的网络上。
同时,Eudemon防火墙也限制用户从某个特定的被严格控制的站点离开,通过有效控制外部用户对内部资源的访问,确保信息安全。
由于防火墙自身具有一定的局限性,如检查的颗粒度较粗,难以对众多的协议细节进行深入的分析与检查,并且防火墙具有防外不防内的特点,难以对内部用户的非法行为和已经渗透的攻击进行有效的检查和防范。
因此,Eudemon防火墙开放了相关接口,通过与其它安全软件进行联动,从而构建统一的安全网络。
网络中的IDS(IntrusionDetectiveSystem,攻击检测系统)系统就像在网络上装备了网络分析器,对网络传输进行监视。
该系统熟悉最新的攻击手段,而且尽力检查通过的每个报文,从而尽早处理可疑的网络传输。
具体采取的措施由用户使用的特定IDS系统和配置情况决定。
Eudemon防火墙与IDS联动,可以充分利用IDS软件的功能,对流经网络的报文进行详细的分析与检查,探测各种可能的异常情况和攻击行为,并通过防火墙进行实时的响应。
Eudemon防火墙与IDS软件联动的组网方式如图12-1所示。
图12-1IDS联动组网图
Eudemon防火墙位于内部LAN网络和外部网络之间,IDS服务器和管理服务器位于内部网络。
IDS服务器根据IDS探测器采集到的信息,识别非法行为和攻击,并报告给管理服务器和Eudemon防火墙,由Eudemon防火墙采取相应措施对攻击源或攻击目的进行阻断,或列入黑名单。
12.2故障处理过程
本节介绍如下的内容。
●典型组网环境
●配置注意事项
●故障诊断流程
●故障处理步骤
12.2.1典型组网环境
图12-1IDS联动典型组网图
如图12-2所示,Eudemon防火墙位于内部LAN网络和外部网络(如Internet)之间,IDS探测器与管理服务器和防火墙相连。
IDS服务器根据IDS探测器采集到的信息,识别非法行为和攻击,并报告给管理服务器和Eudemon防火墙,由Eudemon防火墙采取相应措施对攻击源或攻击目的进行阻断,或列入黑名单。
12.2.2配置注意事项
配置项
子项
注意事项
工作模式配置
配置防火墙工作模式
只有Eudemon防火墙工作在路由模式下,才能启动外接IDS功能,并进行相关IDS联动配置,从而让Eudemon防火墙与IDS系统联动运行。
IDS配置
配置外接IDS服务器地址
缺省情况下,未配置外接IDS服务器地址。
配置防火墙与外接IDS服务器通讯的端口
要使防火墙上与外接IDS服务器通讯的端口和IDS服务器设置的端口保持一致。
缺省情况下,防火墙通过40000端口与外接IDS服务器进行通讯。
配置防火墙与外接IDS服务器的报文认证方式。
如果防火墙与外接IDS服务器采用MD5方式进行报文认证,则要设置防火墙的key值与外接IDS服务器的key值保持一致,缺省情况下防火墙key值为。
缺省情况下,未配置与外接IDS服务器的认证方式,即不与第三方IDS服务器进行认证。
使能IDS功能
只有IDS联动的其他配置都完成后,才可以使能外接IDS功能,否则配置无法生效。
缺省情况下,未使能外接IDS功能。
下面以图12-2中Eudemon的配置为例,说明配置外接IDS时需要注意的事项。
外接IDS软件配置
#按图12-2配置IDS探测器的网络连接,保证网络的畅通。
#设置联动的防火墙地址192.168.1.1。
#设置联动的防火墙监听端口为55100。
#设置联动通信时报文采用MD5认证,且key值为huawei123。
防火墙Eudemon的配置
(本例中,Eudemon与IDS通讯的接口为2/0/5,其IP地址为192.168.1.1,位于域idszone中。
)
#设置防火墙工作在路由模式。
[Eudemon]firewallmoderoute
#为接口2/0/5设置IP地址,并将其加入到域idszone中。
[Eudemon]interfaceethernet2/0/5
[Eudemon-Ethernet2/0/5]ipaddress192.168.1.124
[Eudemon]firewallzonenameidszone
[Eudemon-zone-idszone]setpriority20
[Eudemon-zone-idszone]addinterfaceethernet2/0/5
#设置ACL规则,使防火墙接口能够和IDS探测器相互通讯。
[Eudemon]acl2200
[Eudemon-acl-basic-2200]rulepermit
[Eudemon]firewallinterzonelocalidszone
[Eudemon-interzone-local-idszone]packet-filter2200inbound
[Eudemon-interzone-local-idszone]packet-filter2200outbound
#配置IDS联动功能相关属性。
[Eudemon]firewallidsserver192.168.1.2
[Eudemon]firewallidsport55100
[Eudemon]firewallidsauthenticationtypemd5keyhuawei123
[Eudemon]firewallidsenable
配置完防火墙的工作模式后,需要重启防火墙才有效。
12.2.3故障诊断流程
针对图12-2所示的网络,在完成上述配置后,发现IDS联动功能无效。
请使用图12-3所示的故障诊断流程。
图12-1IDS联动故障诊断流程图
12.2.4故障处理步骤
请执行以下操作。
步骤1检查IDS设备和防火墙之间是否有可达的路由。
在IDS设备端ping防火墙端,查看是否可以ping通。
在防火墙端pingIDS设备端,查看是否可以ping通。
如果均可以ping通,说明防火墙和IDS设备之间有可达的路由,说明防火墙和IDS设备之间的路由不存在问题。
如果ping不通,需要检查防火墙和IDS设备之间的路由。
步骤2检查防火墙上设置IDS设备的IP地址是否正确。
检查防火墙上是否已设置了IDS服务器的地址,以及设置的IDS服务器的地址是否正确。
步骤3检查防火墙上设置的与IDS设备通讯的端口是否正确。
检查防火墙上设置的与IDS设备通讯的端口是否与IDS设备设置的端口保持一致。
缺省情况下,防火墙通过40000端口与外接IDS设备进行通讯。
步骤4检查防火墙上设置的报文认证方式是否正确。
检查防火墙上设置的报文认证方式是否与IDS设备设置的一致。
防火墙与IDS设备可均不启用报文认证方式或均启用MD5方式进行报文认证,这时要确保防火墙和IDS设备设置的key值保持一致。
缺省情况下,防火墙未配置与外接IDS设备进行报文认证。
步骤5检查防火墙的外接IDS功能是否使能。
检查防火墙是否配置了firewallidsenable命令。
步骤6检查防火墙上的黑名单容量是否已满。
检查防火墙上的黑名单是否已配满,动态插入黑名单表项最多允许8000条。
如果防火墙上的黑名单功能已满,可删除一些无用的黑名单,从而使防火墙可继续插入动态黑名单。
如果至此还无法排除IDS功能无效故障,请联系华为的技术支持工程师。
----结束
12.3故障诊断工具
12.3.1display命令
命令
说明
displayfirewallids
查看当前的IDS配置
displayfirewallids
#查看当前的IDS配置信息。
FirewallIDSinformation:
firewallIDS:
enable
debugflag:
off
serverport:
55100
authenticationtype:
md5
authenticationstring:
hello
clintaddress0:
192.168.1.2
显示信息的解释如所示。
项目
说明
firewallIDS:
enable
说明防火墙使能了IDS功能
serverport:
55100
说明IDS设备与防火墙通讯的端口
authenticationtype:
md5
说明IDS设备与防火墙之间的报文采用MD5方式认证
authenticationstring:
hello
说明IDS设备与防火墙之间的报文采用的认证关键字为hello
debugflag:
off
说明防火墙的IDS联动功能的调试开关没有打开
clintaddress0:
192.168.1.2
说明IDS设备的IP地址为192.168.1.2
12.3.2debugging命令
命令
说明
Debuggingfirewallids
查看防火墙的IDS联动功能的调试信息。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 0112 IDS联动故障处理 IDS 联动 故障 处理