天阗入侵检测与管理系统安装手册.docx
《天阗入侵检测与管理系统安装手册.docx》由会员分享,可在线阅读,更多相关《天阗入侵检测与管理系统安装手册.docx(49页珍藏版)》请在冰点文库上搜索。
天阗入侵检测与管理系统安装手册
用户安装手册
——天阗入侵检测与管理系统
产品名称:
天阗入侵检测与管理系统
版本标识:
V6.0
单位:
北京启明星辰信息技术有限公司
版权声明
本手册中任何信息包括文字叙述、文档格式、插图、照片、方法、过程等内容,其著作权及相关权利均属于北京启明星辰信息技术有限公司(以下简称“本公司”),特别申明的除外。
未经本公司书面同意,任何人不得以任何方式或形式对本手册内的全部或部分内容进行修改、复制、发行、传播、摘录、备份、翻译或将其全部或部分用于商业用途。
本公司对本手册中提及的所有计算机软件程序享有著作权,受著作权法保护。
该内容仅用于为最终用户提供信息,且本公司有权对其作出适时调整。
“天阗”商标为本公司的注册商标,受商标法保护。
未经本公司许可,任何人不得擅自使用,不得进行仿冒、伪造。
本公司对本手册中提及的或与之相关的各项技术或技术秘密享有专利(申请)权、专有权,提供本手册并不表示授权您使用这些技术(秘密)。
您可通过书面方式向本公司查询技术(秘密)的许可使用信息。
免责声明
本公司尽最大努力保证其内容本手册内容的准确可靠,但并不对因本手册内容的完整性、准确性或因对该信息的误解、误用而导致的损害承担法律责任。
信息更新
本手册依据现有信息制作,其内容如有更改,本公司将不另行通知。
出版时间
本文档由北京启明星辰信息技术有限公司2007年3月出版。
北京启明星辰信息技术有限公司保留对本手册及本声明的最终解释权和修改权。
目录
第1章软件安装1
1.1准备条件1
1.2系统需求1
1.2.1控制中心系统需求1
1.2.2显示中心系统需求2
1.3网络型安装过程3
1.4管理型安装过程12
第2章软件卸载30
第3章硬件安装31
3.1准备条件31
3.2标识说明31
3.2.1接口说明31
3.3超级终端安装及设置32
3.4天阗网络引擎配置38
3.5常用交换机镜像设置42
附录一:
快速使用指南49
快速使用流程49
多级管理设置53
附录二:
数据源的配置58
软件安装
准备条件
系统需求
为了更好的运行天阗入侵检测与管理系统,我们建议您采用下面的配置作为起点。
系统实际运行的性能与网络环境和策略配置都有关系,配置越高性能会越好。
如果您打算将多个模块安装在一台计算机上,则需要更快的处理器,更多的内存和更大的硬盘空间。
由于系统运行过程中需要不断的读写数据库,为了提高系统的处理速度和性能,我们建议您准备专门的数据库服务器,并将管理控制中心和显示中心分别安装在不同的机器上。
控制中心系统需求
对于小规模的部署方式(单级管理,控制台连接2个以下的引擎),要求:
CPU:
P42.0以上
RAM:
1G以上
硬盘:
20G以上的剩余空间
网卡:
Intel百兆或千兆电口网卡
辅件:
光驱、键盘、鼠标
对于大规模部署方式(多级管理或者控制台连接2个以上的引擎),要求:
CPU:
P42.0以上
RAM:
2G以上
硬盘:
80G以上的剩余空间
网卡:
Intel百兆或千兆电口网卡
辅件:
光驱、键盘、鼠标
显示中心系统需求
标准PC
CPU:
P42.0以上
RAM:
1G以上
硬盘:
20G以上的剩余空间
网卡:
Intel百兆或千兆电口网卡
辅件:
光驱、键盘、鼠标
注:
推荐您最好专机专用,安装天阗控制台的机器不要作为其他用途的服务器。
软件要求:
操作系统:
推荐使用Windows2000sp4(中文版)、Windows2003sp1(中文版),可以使用Windowsxpsp2(中文版)
杀毒软件(可选):
瑞星、诺顿
办公软件(可选):
Office2000/XP/2003(中文版)
下面将介绍关于天阗入侵检测与管理系统完整的安装过程,其中包括控制台软件的安装及设置、硬件的安装及设置,及安装过程中需要的注意事项。
安装光盘区分网络型和管理型,不同的光盘参考如下的安装方式。
注:
为保证安装的顺利进行,我们建议您以administrator身份登陆操作系统。
网络型安装过程
打开天阗入侵检测与管理系统(网络型)的安装光盘,您会看到一个setup程序,启动程序后,出现如下界面,如图1-1所示:
图1-1
安装光盘分为两部分:
MSDE数据库:
这是微软提供的桌面版的小容量数据库,用来进行存放天阗产品的所需的数据结构和产生的相关事件日志信息,最大存储容量为2G。
如需要更大的存储空间或更高效的数据库管理能力,建议采用独立的企业级数据库。
网络入侵检测:
这部分包含网络入侵检测相关的管理控制中心、综合显示中心和日志分析中心,这些组件可以被安装在一台高性能的计算机上,也可以分别安装在不同的计算机上。
每个管理控制中心可以连接多个综合显示中心和日志分析中心。
点击启动界面左列的相应文字就可以对这些产品进行安装,下面分别介绍这几部分的具体安装过程。
MSDE数据库
如果用户的机器上没有安装过MSDE或其它SQLServer的客户端软件,也没有安装过Oracle客户端软件,天阗系统将无法正常运行,您可以点击这一项来安装MSDE。
安装完成后用户需要重启操作系统。
注:
如果先安装MSDE英文版,然后再安装SQLServer的中文版客户端软件,会导致SQLServer的BCP功能无法使用从而使得天阗数据库维护模块某些功能失效,请慎重使用
网络入侵检测
1、安装的第一步会判断本机是否有SQLSERVER或MSDE或Oracle,并要求系统先安装数据库如图所示:
图1-2
注:
使用SQLSERVER数据库时,如果用户准备使用网络数据库服务器的话本机可以不装MSDE,但需要注意的是本机必须有SQLSERVER的客户端工具,能支持建立SQLserver类型的ODBC数据源,否则在后面建立数据库的时候将无法完成。
同样,使用Oracle数据库,如果需要使用网络数据库,也需要在本机安装Oracle客户端工具。
2、在安装完数据库或数据库客户端后将进入天阗入侵检测系统的主安装界面。
如图1-3所示:
图1-3
3、按照安装向导的选择进行安装。
如图1-4所示:
图1-4
4、选择安装类型,“完全”是安装所有的组件,“定制”是需要用户手工选择安装路径及要安装的组件,如图1-5所示:
图1-5
5、选择完组件后可继续进行安装,安装snmp组件。
如图1-6所示:
图1-6
6、等待数据库驱动安装完成进入建立数据库的步骤。
这里分两种情况:
如果用户使用SQLSERVER数据库,请在SqlServer界面上配置好数据库服务器名称、数据库名称、数据库文件存储目录、数据库模板文件的目录(ACCESS模板,一般在安装天阗系统的目录下)、ODBC数据源名称,点击“确定”即可。
如图1-7所示:
图1-7
下面介绍界面各部分的作用:
服务器:
填写要创建的数据库所在的机器名称或ip地址。
可以是本机服务器也可以是网络数据库服务器。
在这里也可以修改本地服务器的sa用户的密码,点击下面的修改本地服务器密码按钮,填入原始密码和新密码就可以了。
但是不能在此处修改远程服务器的密码。
注:
1、MSDE默认的密码为空,如果您修改了密码,请务必牢记。
2、默认情况下,用户机器上只有一个实例,如果用户的机器上有多个SQL实例,你只需要将数据库导入到一个实例中,请在这里填写“IP地址\\实例名称”。
数据库名:
填写你要创建的数据库名称。
用户ID:
SQL数据库的用户名(默认是sa),必须输入具有sa权限的用户名。
密码:
上面所填写的数据库用户的密码。
文件目录:
数据库文件存放的位置,需要确保数据库文件所在的分区中有足够的磁盘空间(不小于100M,为确保用户的系统能长时间正常运行,最好选择剩余磁盘空间较大的分区,建议2G以上)。
数据源→ACCESS文件:
系统提供的原始数据库模型文件(一个ACCESS数据库),一般在天阗控制中心的安装目录下,名称是CenterDB.mdb。
数据源名称:
ODBC数据源名称,这个数据源指向要创建的SQLServer数据库,天阗系统通过这个数据源访问数据库。
注意:
如果在建立数据库的过程中出现如图1-8所示错误,请检查以下几项是否正确:
网络是否正常、数据库服务器运行是否正常、用户ID是否具有sa权限、密码是否正确、远程服务器的文件目录是否存在!
图1-8
如果用户使用的是Oracle数据库,请在Oracle界面上设置网络服务名、访问用户名和密码、数据库模板文件的目录(ACCESS模板,一般在安装天阗系统的目录下)、ODBC数据源名称等信息,然后点击“确定”,如图:
图1-9
注意:
天阗目前只支持oracle9i以上的版本,如果要运行此程序,用户的机器上至少安装oracle的客户端而且能通过服务名连接到oracle数据库。
下面介绍界面各部分的作用:
网络服务名:
Oracle系统需要用网络服务名连接到指定的数据库上,如果服务名错误,数据库导入程序可能不会正确执行。
用户ID:
需要一个有DBA身份的用户,否则导入可能不成功。
密码:
用户的密码。
7、导入成功后会给出成功的提示,如图1-10所示:
图1-10
注:
(1)这里建表和导入记录具体的数字可能随着版本的不同有所变化;
8、在数据库导入成功后安装将继续进行。
9、如果用户机器上还没有安装启明星辰的自动升级系统,安装程序会继续安装升级系统,选择全部安装即可。
如果机器上已经安装自动升级系统,请选择“修改”即可。
图1-12
10、接着进行其它相关程序的安装,安装完成后,给出提示,到此网络入侵检测组件的安装就全部完成了。
管理型安装过程
打开天阗入侵检测与管理系统(管理型)的安装光盘,您会看到一个setup程序,启动程序后,出现如下界面,如图:
图1-13
安装光盘分为五部分:
MSDE数据库:
这是微软提供的桌面版的小容量数据库,用来进行存放天阗产品的所需的数据结构和产生的相关事件日志信息,最大存储容量为2G。
如需要更大的存储空间或更高效的数据库管理能力,建议采用独立的企业级数据库。
网络入侵检测:
这部分包含网络入侵检测相关的管理控制中心、综合显示中心和日志分析中心,这些组件可以被安装在一台高性能的计算机上,也可以分别安装在不同的计算机上。
每个管理控制中心可以连接多个综合显示中心和日志分析中心。
异常流量监测:
异常流量监测包含和网络异常流量监测系统相关的管理控制中心、日志分析中心、流量监测中心。
异常流量监测可以独立安装,也可以和网络入侵检测进行统一安装,作为入侵管理组件统一使用。
入侵事件定位:
入侵事件定位系统是一个直观的图形化事件显示平台,可以将网络入侵检测系统产生的实时报警信息通过地理信息、网络结构以及和IP地址的定位结合显示在图形界面上。
安装前请确认已购买了相应的授权,否则无法使用。
入侵风险评估:
入侵风险评估系统采用了协同关联分析技术,能够自动的将入侵检测事件和漏洞扫描的结果进行的关联分析,给出风险分析结果。
安装前请确认已购买了相应的授权,否则无法使用。
这几部分可以分别单独安装,也可以根据情况组合安装使用。
例如,如果您需要同时检测网络事件和监控网络流量,有两种实现方式:
一、集中安装:
在一台计算机上,可以先安装网络入侵检测,再安装异常流量监测;
二、分布式安装:
您也可以在一台计算机上安装网络入侵检测和异常流量监测的控制中心,在另一台计算机上安装流量监测中心和日志中心,然后再设置流量监测中心的数据源指向入侵检测系统的控制中心,也可以实现上述需求。
可以这样组合安装的还有入侵检测的管理控制中心和入侵事件定位、入侵检测的管理控制中心和入侵风险评估。
点击启动界面左列的相应文字就可以对这些产品进行安装,下面分别介绍这几部分的具体安装过程。
MSDE数据库
如果用户的机器上没有安装过MSDE或其它SQLServer的客户端软件,也没有安装过Oracle客户端软件,天阗系统将无法正常运行,您可以点击这一项来安装MSDE。
安装完成后用户需要重启操作系统。
注:
如果先安装MSDE英文版,然后再安装SQLServer的中文版客户端软件,会导致SQLServer的BCP功能无法使用,从而使得天阗数据库维护模块某些功能失效,请慎重使用
网络入侵检测
安装的第一步会判断本机是否有SQLSERVER或MSDE或Oracle,并要求系统先安装数据库如图所示:
图1-14
注:
使用SQLSERVER数据库时,如果用户准备使用网络数据库服务器的话本机可以不装MSDE,但需要注意的是本机必须有SQLSERVER的客户端工具,能支持建立SQLserver类型的ODBC数据源,否则在后面建立数据库的时候将无法完成。
同样,使用Oracle数据库,如果需要使用网络数据库,也需要在本机安装Oracle客户端工具。
2、在安装完数据库或数据库客户端后将进入天阗入侵检测系统的主安装界面。
如图1-15所示:
图1-15
3、按照安装向导的选择进行安装。
如图1-16所示:
图1-16
4、选择安装类型,“完全”是安装所有的组件,“定制”是需要用户手工选择安装路径及要安装的组件,如图1-17所示:
图1-17
5、选择完组件后可继续进行安装,安装snmp组件。
如图1-18所示:
图1-18
6、等待数据库驱动安装完成进入建立数据库的步骤。
这里分两种情况:
如果用户使用SQLSERVER数据库,请在SqlServer界面上配置好数据库服务器名称、数据库名称、数据库文件存储目录、数据库模板文件的目录(ACCESS模板,一般在安装天阗系统的目录下)、ODBC数据源名称,点击“确定”即可。
如图1-19所示:
图1-19
下面介绍界面各部分的作用:
服务器:
填写要创建的数据库所在的机器名称或ip地址。
可以是本机服务器也可以是网络数据库服务器。
在这里也可以修改本地服务器的sa用户的密码,点击下面的修改本地服务器密码按钮,填入原始密码和新密码就可以了。
但是不能在此处修改远程服务器的密码。
注:
1、MSDE默认的密码为空,如果您修改了密码,请务必牢记。
2、默认情况下,用户机器上只有一个实例,如果用户的机器上有多个SQL实例,你只需要将数据库导入到一个实例中,请在这里填写“IP地址\\实例名称”。
数据库名:
填写你要创建的数据库名称。
用户ID:
SQL数据库的用户名(默认是sa),必须输入具有sa权限的用户名。
密码:
上面所填写的数据库用户的密码。
文件目录:
数据库文件存放的位置,需要确保数据库文件所在的分区中有足够的磁盘空间(不小于100M,为确保用户的系统能长时间正常运行,最好选择剩余磁盘空间较大的分区,建议2G以上)。
数据源→ACCESS文件:
系统提供的原始数据库模型文件(一个ACCESS数据库),一般在天阗控制中心的安装目录下,名称是CenterDB.mdb。
数据源名称:
ODBC数据源名称,这个数据源指向要创建的SQLServer数据库,天阗系统通过这个数据源访问数据库。
注意:
如果在建立数据库的过程中出现如图1-20所示错误,请检查以下几项是否正确:
网络是否正常、数据库服务器运行是否正常、用户ID是否具有sa权限、密码是否正确、远程服务器的文件目录是否存在!
图1-20
如果用户使用的是Oracle数据库,请在Oracle界面上设置网络服务名、访问用户名和密码、数据库模板文件的目录(ACCESS模板,一般在安装天阗系统的目录下)、ODBC数据源名称等信息,然后点击“确定”,如图:
图1-21
注意:
天阗目前只支持oracle9i以上的版本,如果要运行此程序,用户的机器上至少安装oracle的客户端而且能通过服务名连接到oracle数据库。
下面介绍界面各部分的作用:
网络服务名:
Oracle系统需要用网络服务名连接到指定的数据库上,如果服务名错误,数据库导入程序可能不会正确执行。
用户ID:
需要一个有DBA身份的用户,否则导入可能不成功。
密码:
用户的密码。
7、导入成功后会给出成功的提示,如图1-22所示:
1-22图
注:
(1)这里建表和导入记录具体的数字可能随着版本的不同有所变化;
8、在数据库导入成功后安装将继续进行。
9、如果用户机器上还没有安装启明星辰的自动升级系统,安装程序会继续安装升级系统,选择全部安装即可。
如果机器上已经安装自动升级系统,请选择“修改”即可。
图1-24
12、接着进行其它相关程序的安装,安装完成后,给出提示到此网络入侵检测组件的安装就全部完成了。
异常流量监测
安装界面和网络入侵检测的安装类似,请按照上文的说明进行操作。
可以独立安装该部分,也可以和网络入侵检测在同一台主机上安装。
图1-22
注:
如果您的机器上已经安装了天阗系列其它的产品,必须选择相同的安装目录。
入侵事件定位
1、安装主界面如下:
图1-23
2、下一步提示用户选择安装路径
图1-24
注:
如果您的机器上已经安装了天阗系列其它的产品,请选择相同的安装目录。
3、安装完成后提示您重启计算机,请根据提示将计算机重启使驱动程序生效。
图1-25
入侵风险评估
安装界面和入侵事件定位系统的安装类似,请按照上文的说明进行操作。
入侵风险评估报表需要水晶报表的支持,安装过程中也会进行水晶报表组件的安装,如果您的系统中已经安装了水晶报表组件,这一步可以取消。
图1-26
注:
如果您的机器上已经安装了天阗系列其它的产品,必须选择相同的安装目录。
注:
入侵事件定位系统和入侵风险评估系统启动时需要加密狗支持,使用前首先要把加密狗插入计算机。
注:
在极少的环境下,天阗系统使用的一个控件(Cfx4032.ocx)在某些安装windows2000的操作系统的主机上可能无法注册成功,影响了特定功能的实现,请按如下方法检查和解决。
具体现象:
在安装完成后,打开管理控制中心,您如果发现下方的业务曲线窗口是一片空白,没有任何网格,说明发生了此问题。
解决方法:
启动开始->运行->在编辑框中输入:
regsvr32“天阗安装目录/Cfx4032.ocx”。
例如:
如果您的天阗系统安装在C盘下,输入regsvr32"C:
\ProgramFiles\Venustech\CyberVisionIMS6.0\Cfx4032.ocx"。
如果还是没有效果,请到天阗安装目录下运行RegCom.dat文件即可。
天阗使用Oracle数据库的注意事项
如果用户选择使用Oracle数据库,请注意以下几点:
●目前天阗只支持Oracle9i以上的版本。
建立Oracle数据库的过程请Oracle数据库管理员协助进行,天阗的数据库建议专人维护。
●请为天阗建立独立的表空间和临时表空间,表空间的大小建议20G以上,临时表空间2G以上,均设置为自动增长。
●请为天阗设置单独的用户,用户需要具有DBA的权限。
●如果网络入侵检测和天镜产品或主机入侵检测同台运行,目前不支持在Oracle数据库上的运行,用户只能选择SQLServer的数据库。
软件卸载
1、在控制面板中选择“添加或删除程序”,找到“CybervisionIntrusionDetestionSystem”,点击“删除”。
如图2-1所示:
图2-1
2、选择“删除”
3、按照删除向导完成即可。
如果界面提示需要重启,请用户重启操作系统以便完全卸载。
其它产品的卸载界面类似。
注:
卸载时如下组件将不会随着天阗主系统一并卸载:
snmpagent、数据库、水晶报表组件。
硬件安装
在这部分里主要介绍的是硬件引擎的安装、设置、如何接入到网络中以及必要的配置操作。
准备条件
环境要求:
千兆设备:
工作温度:
0~40℃
工作湿度:
5~85%
储存温度:
-20~75℃
储存湿度:
5~95%
电源输入:
AC90~260V47-63HZ
百兆设备:
工作温度:
0~45℃
工作湿度:
10~90%
储存温度:
-20~60℃
储存湿度:
5~95%
电源输入:
AC90~260V47-63HZ
标识说明
接口说明
网络引擎上一共有三种用途的信号接口,他们的说明如下:
:
超级终端的连接端口;
:
硬件引擎的数据包监听/串接端口,连接交换机的镜像端口;
:
硬件引擎的管理控制端口,主要用于与控制台通讯;
某些型号的千兆引擎的机器后面有两个红色按钮,如图:
按钮2
按钮1正常情况下在机盖下面,被一个螺丝钉覆盖,是一个报警按钮,如果引擎在通电情况下打开机盖,会发出报警声,按下后,不再报警。
按钮2平时就能看到,千兆引擎可使用双电源,如果您只连接了一根电源线,引擎也会发出报警声,按下这个按钮后,不再报警。
超级终端安装及设置
1、超级终端安装
“超级终端”是Windows9x、WindowsNT及Win2k下的程序,是Microsoft操作系统中的一个常用组件。
它能够通过串行或并行端口接受或发送ASCII码信息。
“超级终端”具有反卷功能,此功能使用户能够看到已经滚动出屏幕的已接收文本。
方式1:
在安装Windows95/98/2000/NT/XP操作系统时,选中“通讯”选项中“超级终端”选项。
方式2:
在安装Windows95/98/2000/NT/XP操作系统时没有安装“超级终端”,可以通过Windows95/98/2000/NT/XP的“控制面板”的“添加/删除程序”项安装“超级终端”。
1、启动超级终端(以windows2000advancedserver为例)。
如图3-1所示:
图3-1
2、启动画面。
如图3-2所示:
图3-2
新建连接名称—输入相应名称。
如图3-3所示:
图3-3
选择COM1口还是选择COM2口,应根据通讯线所连接到控制中心PC的COM口号来确定。
建议连到COM1口,如图3-4所示:
图3-4
3、端口设置
每秒位数(B)项选择“9600”,其它速率无效;数据位(D)项选择“8”;奇偶校验(P)项选择“无”;停止位“S”项选择“1”;数据流控制(F)项选择“硬件”。
如图3-5所示:
图3-5
4、超级终端设置
选择“文件”菜单中的“属性”选项,显示如下图所示画面。
如果你不想看滚动出屏幕的信息,请把“反卷缓冲区行数(B)”设为“0”。
按“设置”按纽,显示屏幕如图3-6所示:
图3-6
按“ASCII码设置(A)...”按纽,使用默认设置即可,显示屏幕如图3-7所示:
图3-7
天阗网络引擎配置
天阗网络引擎利用超级终端进行基本设置,配置好超级终端以后,回车进入探测引擎启动画面。
如图3-8所示:
图3-8
输入用户名:
venus,回车后再输入正确的密码(出厂密码设置为1234567)后进入如图3-9所示:
图3-9
选项介绍
在超级终端上显示的控制界面分成4个部分:
配置选项、辅助选项、恢复选项和退出选项。
每个选项下有不同的子项,以下依次对这些子项进行介绍:
配置选项:
【功能1】:
显示当前设置
显示当前配置信息。
包括通讯网口的IP地址、子网掩码、路由配置等信息;
【功能2】:
更改IP地址/子网掩码
更改通讯网口的IP地址及子网掩码。
新探测引擎的IP地址及子网掩码请向网络管理员申请。
【功能3】:
重置引擎认证密钥
选项“3”可以重置控制中心与引擎认证密钥,当引擎与不同于原控制中心的另外控制中心相连时必须重置密钥。
【功能