4.6.5入侵检测系统配置
入侵检测系统配置体系结构主要包含全局配置、规则库配置、基于目标网络的策略对象配置和全方位安全策略配置,如图4.2所示。
图4.2 入侵检测系统配置体系结构示意
1.全局配置
(1)全局配置。在全局定制四位一体的检测引擎的运行参数。
(2)应用服务器地址及服务端口配置。收集设备监听网络中存在的HTTP、Telnet、DNS、FTP等服务器地址,将它们配置到相应IP地址变量中;收集各应用的服务端口,将它们配置到相应端口变量中。这些服务器及端口将成为FIRST检测引擎深度检测和协议分析的重要参数。
(3)IP参数配置。定制FIRST引擎处理IP分片、重组等参数。
(4)端口扫描参数配置。配置FIRST引擎流量异常分析中恶意扫描检测参数。
(5)DoS/DDoS配置。配置FIRST引擎流量异常分析中DoS/DDoS攻击检测参数。
(6)联动配置。配置FIRST和监听网络相关联的协同抵御设备组(即“联动组”)和对象。
2.规则库配置
预定义规则库包含系统预定义好的深度检测规则,能够检测多种攻击。通过系统提供的灵活而强大的自定义功能,用户也可以自己定制规则以扩展规则库。
用户可以通过多种方式查询FIRST引擎特征规则库中各特征规则的详细信息,并在系统预定义的规则基础上定义自己的规则,丰富、扩展攻击特征库,供策略对象定制使用。
CVE是国际著名的安全漏洞库,也是对目前已知漏洞和安全缺陷的标准化名称的列表。CVE主要致力于标准化已知安全漏洞名称,从而帮助快速而有效地鉴别、发现和修复软件产品的安全漏洞。
如果一个工具、网站、数据库或者安全产品、服务使用了CVE定义的漏洞命令方式,并能与其他采用CVE标准的产品相互引用,即表明其与CVE兼容。用户可根据实际网络环境选取CVE中合适的防护规则加载到策略对象并应用到相应业务口上。
3.基于目标网络的策略对象配置
策略对象的配置体现了多实体化监测目标网络的特点。可以根据设备各业务口监听网络的不同应用流类型对网络进行分类,再针对这些分类定制不同的深度检测规则及每条规则命中后的响应动作,形成一个或多个深度检测策略对象。把这些深度检测对象应用到对网络进行检测的相应业务口,可以对目标网络进行高效、全面的防护。
4.全方位安全策略配置
在业务口上选取适合其所监听网络的深度检测策略对象,形成针对该网络的深度检测策略;还可以针对业务口所监听网络应用服务器的情况,配置针对性的应用协议分析项,从而形成接口的协议分析策略;还可以针对业务口监听的网络流量特点,配置需要重点保护的目标主机和端口,从而形成接口的流量分析策略;所有的检测策略都要配置相应的响应动作策略,即在检测到入侵时,系统采取什么样的动作(包括联合其他网络设备进行阻断、限流等)。
以上配置共同构成了深度检测、协议分析、流量分析和协同抵御四位一体、全方位的灵活、强大的入侵检测与防护配置。