聯(lián)想集團(tuán)有限公司 3-聯(lián)想集團(tuán)有限公司 3-#第3章系統(tǒng)配置本章主要介紹防火墻的系統(tǒng)配置，由以下部分組成:日期時(shí)間，系統(tǒng)參數(shù)，系統(tǒng)更新，管理配置，聯(lián)動(dòng)，報(bào)告設(shè)置，入侵檢測和產(chǎn)品許可證.3.1日期時(shí)間防火墻系統(tǒng)時(shí)間的準(zhǔn)確性是非常重要的?？梢圆扇煞N方式來同步防火墻的系統(tǒng)時(shí)鐘1）與管理主機(jī)時(shí)間同步2）與網(wǎng)絡(luò)時(shí)鐘服務(wù)器同步（NTP協(xié)議）系筑配置“日期時(shí)間日期時(shí)間防妙S當(dāng)前時(shí)間:2004/Q4/CT714:1417管混主機(jī)當(dāng)前時(shí)間.2004/04/crrL4]4it 時(shí)間同步圖3錯(cuò)誤!未定義書簽。配置防火墻時(shí)間與管理主機(jī)時(shí)間同步.調(diào)整管理主機(jī)時(shí)鐘.點(diǎn)擊“時(shí)間同步”按鈕與時(shí)鐘服務(wù)器時(shí)間同步有兩種方式.立即同步.周期性自動(dòng)同步立即同步.選中“啟用時(shí)鐘服務(wù)器"，輸入"時(shí)鐘同步服務(wù)器IP”.點(diǎn)擊“立即同步”按鈕周期性自動(dòng)同步.選中“啟用時(shí)鐘服務(wù)器”，輸入“時(shí)鐘同步服務(wù)器IP”.設(shè)定同步周期.點(diǎn)擊“確定”按鈕系統(tǒng)參數(shù)注意事項(xiàng)：防火墻的很多操作依賴于系統(tǒng)時(shí)間，改變系統(tǒng)時(shí)間會對這些操作發(fā)生影響,比如更改時(shí)間后配置管理界面登錄超時(shí)等..2系統(tǒng)參數(shù)系統(tǒng)參數(shù)設(shè)置防火墻名稱和動(dòng)態(tài)域名注冊所使用的用戶名、密碼。防火墻名稱的最大長度是14個(gè)英文字符，不能有空格.默認(rèn)的防火墻名稱是themis，用戶可以自己修改這個(gè)名稱。動(dòng)態(tài)域名注冊所使用的用戶名、密碼的最大長度是31個(gè)英文字符，不能有空格。動(dòng)態(tài)域名的設(shè)置在網(wǎng)絡(luò)配置〉〉網(wǎng)絡(luò)設(shè)備的物理網(wǎng)絡(luò)配置中。條統(tǒng)配置>>菜統(tǒng)券量圖31系統(tǒng)參數(shù)配置圖.3系統(tǒng)更新模塊升級防火墻系統(tǒng)升級功能可以快速響應(yīng)安全需求，保證防火墻功能與安全的快速升級。察統(tǒng)配置》系統(tǒng)更普“攜塊升吸求統(tǒng)當(dāng)?shù)能浖荆嚎凇?□聞*升啦件:? ?升桀?萬號更能總在開朝時(shí)間]0.1.0.^] 聯(lián)想網(wǎng)峭火墻ZKM-M-0513：3S：3E導(dǎo)出升圾歷史 檢查最新升糠電 重啟防火墻圖32導(dǎo)入升級文件模塊升級界面包括以下功能.模塊升級.導(dǎo)出升級歷史.檢查最新升級包.重啟防火墻模塊升級.點(diǎn)擊“瀏覽”按鈕，選擇管理主機(jī)上的升級包.點(diǎn)擊“升級”按鈕點(diǎn)擊“重啟防火墻”按鈕，重啟防火墻完成升級導(dǎo)出升級歷史點(diǎn)擊“導(dǎo)出升級歷史”按鈕，導(dǎo)出升級歷史做備份.檢查最新升級包管理員可以查看”系統(tǒng)當(dāng)前軟件版本"，點(diǎn)"檢查最新升級包”，系統(tǒng)會彈出新的IE窗口并連接聯(lián)想安全服務(wù)網(wǎng)站（防火墻可以連接Internet）。重啟防火墻點(diǎn)擊“重啟防火墻”按鈕，防火墻將重新啟動(dòng).注意：重啟防火墻前，記住要保存當(dāng)前配置。"保存"快捷鍵：?3.3.2導(dǎo)入導(dǎo)出系筑直直抄系統(tǒng)史料A導(dǎo)入導(dǎo)出圖3錯(cuò)誤!未定義書簽。導(dǎo)入導(dǎo)出配置文件導(dǎo)入導(dǎo)出界面包含以下功能.導(dǎo)出系統(tǒng)配置.導(dǎo)入系統(tǒng)配置.恢復(fù)出廠配置.保存配置導(dǎo)出配置點(diǎn)擊“導(dǎo)出配置”按鈕，導(dǎo)出最后一次保存的所有系統(tǒng)配置到管理主機(jī)。選中“導(dǎo)出成加密格式”，則加密配置文件。導(dǎo)入配置點(diǎn)擊“瀏覽”按鈕，在管理主機(jī)上選擇要導(dǎo)入的配置文件，點(diǎn)擊“導(dǎo)入配置”按鈕，導(dǎo)入配置文件，系統(tǒng)提示導(dǎo)入成功，重起防火墻，導(dǎo)入的配置生效。注意:導(dǎo)出的配置文件帶有防火墻軟硬件版本的信息，不能導(dǎo)入到別的版本防火墻中，而且如果同樣的配置文件被導(dǎo)入到不同防火墻中，且這些防火墻位于同一網(wǎng)絡(luò)時(shí)，可能會引起配置沖突，如IP地址，MAC地址等.恢復(fù)出廠配置點(diǎn)擊“恢復(fù)出廠配置”按鈕，防火墻所有配置丟失，恢復(fù)到出廠配置，重起防火墻后生效.保存配置點(diǎn)擊“保存配置”，保存所有系統(tǒng)配置.也可以按上方保存快捷圖標(biāo)來保存..4管理配置3.4.1管理主機(jī)管理員只有在管理主機(jī)上才能對防火墻進(jìn)行管理，最多支持6個(gè)管理主機(jī)IP和1個(gè)集中管理主機(jī)，至少有1個(gè)管理主機(jī)IP不能被刪除。菜裝配直”管理配百》管理主機(jī)圖3錯(cuò)誤!未定義書簽。添加、編輯管理主機(jī)此界面完成以下功能.添加管理主機(jī).刪除管理主機(jī).轉(zhuǎn)到“系統(tǒng)配置〉〉報(bào)告設(shè)置>>集中管理”界面添加管理主機(jī).輸入管理主機(jī)IP.在“說明”中,輸入描述性文字，此步驟可忽略.點(diǎn)擊“確定”按鈕完成添加修改管理主機(jī).從“管理主機(jī)IP”列表中修改要修改的管理主機(jī)IP.點(diǎn)擊“確定”按鈕完成修改刪除管理主機(jī).從“管理主機(jī)IP”列表中刪除要?jiǎng)h除的管理主機(jī)IP.點(diǎn)擊“確定”按鈕完成刪除.4.2管理員賬號管理員按級別授權(quán)管理，說明如下：表31管理員級別與授權(quán)管理員級別授權(quán)備注超級管理員增加、刪除管理員帳號，不能直接配置管理.默認(rèn)管理員帳號與密碼為administrator:administrator。帳號administrator不能刪除。配置管理員配置系統(tǒng)策略、網(wǎng)絡(luò)配置、在線幫助。無默認(rèn)帳號策略管理員配置安全策略、資源定義、在線幫助.無默認(rèn)帳號審計(jì)管理員查看防火墻日志信息、在線幫助.無默認(rèn)帳號默認(rèn)只能有一個(gè)管理員登錄防火墻進(jìn)行配置管理，選擇”允許多個(gè)管理員同時(shí)管理”時(shí),防火墻系統(tǒng)才會允許多個(gè)管理員同時(shí)登錄，但最好不要多個(gè)管理員同時(shí)進(jìn)行修改配置。系統(tǒng)配置a管理配目4管理員悵號哲理員量錄班時(shí)間畫面一批iis：不能瞪3H&40電氣￡針時(shí)1碓定*允許多住理員同時(shí)苜理圖3錯(cuò)誤!未定義書簽。顯示管理員賬號此界面可完成以下功能.添加管理員賬號.編輯管理員賬號.刪除管理員賬號.允許或禁止多個(gè)管理員同時(shí)管理.設(shè)定管理員登錄超時(shí)時(shí)間圖3錯(cuò)誤!未定義書簽。添加、編輯管理員賬號添加管理員賬號.點(diǎn)“添加”按鈕，打開管理員賬號維護(hù)界面.輸入賬號、口令，并選擇要添加的管理員賬號類型.點(diǎn)“確定”按鈕完成，點(diǎn)“添加下一條”可以繼續(xù)添加管理員賬號編輯管理員賬號.點(diǎn)操作欄中“編輯”的快捷圖標(biāo)，打開管理員賬號維護(hù)界面.修改口令或賬號類型.點(diǎn)“確定”按鈕完成刪除管理員賬號.點(diǎn)操作欄中“刪除”的快捷圖標(biāo)，彈出刪除對話框.點(diǎn)“確定”按鈕完成刪除允許或禁止多個(gè)管理員同時(shí)管理選擇“允許多個(gè)管理員同時(shí)管理”時(shí)，防火墻系統(tǒng)才會允許多個(gè)管理員同時(shí)登錄。設(shè)定管理員登錄超時(shí)時(shí)間管理員登錄后如果長時(shí)間沒有操作，配置界面會超時(shí)，超時(shí)時(shí)間也在這里設(shè)置，缺省值是600秒，最大超時(shí)時(shí)間可設(shè)為86400秒（24小時(shí)），0是非法值。設(shè)置后點(diǎn)擊“確定”生效。.4.3管理證書本界面完成主要的證書管理。管理證書為標(biāo)準(zhǔn)的CA證書.無論使用電子鑰匙認(rèn)證，還是直接使用證書認(rèn)證，均是通過https協(xié)議訪問，即使用管理證書完成SSL的加密.管理員通過電子鑰匙認(rèn)證成功，訪問https：//防火士j可管理IP：8888，登錄防火墻配置界面，使用防火墻web服務(wù)器的服務(wù)器端的證書進(jìn)行信道加密。防火墻出廠時(shí)預(yù)置了一套證書（CA中心證書、防火墻證書、防火墻密鑰），管理員可以點(diǎn)擊CA中心證書的鏈接、防火墻證書的鏈接進(jìn)行查看。管理員也可以更新此套證書，按"系統(tǒng)配置＞＞管理配置〉〉管理證書”界面提示直接導(dǎo)入即可。管理員通過IE完成證書認(rèn)證，訪問https://防火墻可管理IP:8889,登錄防火墻配置界面，使用防火墻web服務(wù)器的客戶端的證書進(jìn)行信道加密.當(dāng)管理員使用證書方式進(jìn)行身份認(rèn)證時(shí)，必須在防火墻中導(dǎo)入一套證書（CA中心證書、防火墻證書、防火墻密鑰、管理員證書），并在管理主機(jī)的IE中導(dǎo)入管理員證書.管理員可以點(diǎn)擊CA中心證書的鏈接、防火墻證書的鏈接進(jìn)行查看.管理員可以查看導(dǎo)入的管理員證書列表.此界面包括以下功能.到聯(lián)想CA中心下載證書.導(dǎo)入一套證書（CA中心證書、防火墻證書、防火墻密鑰、管理員證書）.CA中心證書、防火墻證書查看.管理員證書維護(hù)（生效、刪除）圖33導(dǎo)入和顯示管理證書操作流程：.管理員向CA中心申請證書，選擇一套匹配的CA中心證書、防火墻證書、防火墻密鑰”導(dǎo)入”..管理員要將選擇匹配的管理員證書”導(dǎo)入"。點(diǎn)"生效"，使用相關(guān)管理員證書生效。.下次登錄防火墻系統(tǒng)前，請將有效管理員證書導(dǎo)入管理主機(jī)的IE瀏覽器中，訪問https://防火墻可管理IP：8889，進(jìn)入防火墻配置管理界面。注意：CA中心證書、防火墻證書、防火墻密鑰必須是配套的.只接受PEM格式的證書。下載證書點(diǎn)“聯(lián)想CA中心"按鈕，打開聯(lián)想CA中心的主頁，下載證書導(dǎo)入證書點(diǎn)“瀏覽”按鈕，分別導(dǎo)入一套匹配的CA中心證書、防火墻證書、防火墻密鑰、管理員證書.CA中心證書、防火墻證書、防火墻密鑰必須同時(shí)更換。管理員證書維護(hù)管理員證書維護(hù)包括生效和刪除，在“生效”一欄選擇要生效的證書，點(diǎn)“生效”按鈕則生效選中的證書.在“操作”一欄中，點(diǎn)“刪除”的圖標(biāo),刪除此證書。3.4.4管理方式防火墻提供WEB界面和CLI命令行兩種管理方式?？梢酝ㄟ^網(wǎng)口訪問、串口訪問，支持撥號（PPP）連接。WEB管理方式和串口命令行方式默認(rèn)打開，不可關(guān)閉。使用WEB方式管理防火墻，管理主機(jī)必須能通過網(wǎng)絡(luò)訪問防火墻,并且其IP地址必須在防火墻上設(shè)置（參考:系統(tǒng)配置>>管理配置〉〉管理主機(jī)）。使用串口命令行方式管理，在關(guān)閉PPP接入的情況下，管理主機(jī)通過串口連接防火墻的CONSOLE口登錄；如果打開了PPP接入方式，則轉(zhuǎn)移到AUX□登錄?！皢⒂眠h(yuǎn)程SSH"后,管理主機(jī)可以通過網(wǎng)絡(luò)連接（通用網(wǎng)口或PPP連接均可），利用securecrt或putty等終端管理軟件登錄防火墻命令行界面進(jìn)行管理。打開”支持撥號（PPP）接入”選項(xiàng)。前提是Modem連接到電話線路上,并將防火墻CONSOLE口連接Modem,管理主機(jī)通過另外一個(gè)Modem也接入電話線路,從管理主機(jī)向防火墻撥號，撥號成功后，防火墻與管理主機(jī)建立了PPP連接.此時(shí)，可以從管理主機(jī)上利用putty軟件登錄防火墻命令行界面（遠(yuǎn)程SSH方式）。圖34顯示和配置管理方式3.5聯(lián)動(dòng)3.5.1IDS產(chǎn)品支持IDS產(chǎn)品聯(lián)動(dòng)，包括PUMA協(xié)議和產(chǎn)品Puma、OPSEC協(xié)議和產(chǎn)品Safemate、天闐產(chǎn)品Venus、天眼產(chǎn)品Netpower。當(dāng)IDS聯(lián)動(dòng)產(chǎn)品發(fā)現(xiàn)入侵攻擊行為時(shí)，會通知防火墻.防火墻會按IDS產(chǎn)品通知的阻斷方式、阻斷時(shí)間和入侵主機(jī)的相關(guān)信息，對入侵主機(jī)進(jìn)行阻斷。

防火墻阻斷方式包括：對”源IP地址"阻斷對"源IP地址、目的IP地址、目的端口、協(xié)議”阻斷、對"源IP地址、目的IP地址、協(xié)議、方向（單向、雙向、反向）"阻斷防火墻阻斷協(xié)議包括：TCP/UDP/ICMP和所有協(xié)議（any）。賽院配宜冷版動(dòng)Aid5產(chǎn)品啟用產(chǎn)品名林■征nsiPM址（多個(gè)用英煤3訃隔）防火窗《￡螂口\r\網(wǎng)御通用安全由辿（FIMA）人慢檢例系統(tǒng)導(dǎo)入空期文件TCP闞⑶（翱入5KC）“無ST區(qū)侵檜瀏系統(tǒng)1050to.LE2UDP20M ￡耕認(rèn)：2000）r',天眼RK侵倒U越與人證書TCP1t0m（.戳U：4D00）r%皿3&俱檢測系統(tǒng)*人羽鉗女件UDP之皿（承認(rèn)：2DO1）班嚼對以下地址的自動(dòng)阻■（去個(gè)用懿靖號分g）13 ■璐定| 潔駐匕交出淅的廿地址圖3錯(cuò)誤!未定義書簽。IDS產(chǎn)品表3錯(cuò)誤!未定義書簽。IDS產(chǎn)品功能說明域名說明啟用“網(wǎng)御通用安全協(xié)議（PUMA）入侵檢測系統(tǒng)”聯(lián)動(dòng)選擇正確的密鑰文件導(dǎo)入后，啟用"網(wǎng)御通用安全協(xié)議（PUMA）入侵檢測系統(tǒng)”，并指定產(chǎn)品的IP地址、防火墻端的服務(wù)端口（默認(rèn)5000/TCP），防火墻可以與之聯(lián)動(dòng)。啟用“天闐入侵檢測系統(tǒng)統(tǒng)”聯(lián)動(dòng)啟用”天闐入侵檢測系統(tǒng)”，并指定產(chǎn)品的IP地址、防火墻端的服務(wù)端口（默認(rèn)2000/UDP），防火墻可以與之聯(lián)動(dòng)。啟用“天眼入侵檢測系統(tǒng)”聯(lián)動(dòng)選擇正確的證書導(dǎo)入后，啟用"天眼入侵檢測系統(tǒng)”，并指定產(chǎn)品的IP地址、防火墻端的服務(wù)端口（默認(rèn)4000/TCP），防火墻可以與之聯(lián)動(dòng).啟用“safemate入侵檢測系統(tǒng)”聯(lián)動(dòng)選擇正確的密鑰文件導(dǎo)入后，啟用"safemate入侵檢測系統(tǒng)”，并指定防火墻端的服務(wù)端口（默認(rèn)2001/UDP）,防火墻可以與之聯(lián)動(dòng)。忽略指定IP地址的自動(dòng)阻斷當(dāng)管理員不希望一些特別IP被防火墻阻斷時(shí)，可以在"忽略以下IP地址的自動(dòng)阻斷”列表中加入這些IP.如果在配置忽略某IP地址的自動(dòng)阻斷之前，已經(jīng)下了該IP的自動(dòng)阻斷規(guī)則，則需要將這些自動(dòng)阻斷規(guī)則清除，才能實(shí)現(xiàn)忽略指定IP地址的自動(dòng)阻斷。立即清除所有自動(dòng)阻斷可以立即清除所有自動(dòng)阻斷。

注意：每個(gè)聯(lián)動(dòng)請配置不同的聯(lián)動(dòng)端口，如配置成同一端口，則只啟用界面上順序靠后的聯(lián)動(dòng)系統(tǒng)。3.5.2用戶認(rèn)證服務(wù)器為了增強(qiáng)從內(nèi)網(wǎng)訪問外網(wǎng)時(shí)的訪問控制，提供不受服務(wù)種類限制的用戶認(rèn)證系統(tǒng)，可以為包過濾、雙向NAT、代理等訪問控制提供用戶認(rèn)證功能。管理員可以啟用防火墻本地帳號服務(wù)器，也可以啟用標(biāo)準(zhǔn)的RADIUS服務(wù)器。即，防火墻用戶認(rèn)證使用的是RADIUS的賬號庫，并支持RADIUS服務(wù)器的審計(jì)功能.系統(tǒng)配宜＞聯(lián)動(dòng)＞＞用戶認(rèn)證報(bào)界器圖3錯(cuò)誤!未定義書簽。用戶認(rèn)證配置圖此界面包括以下功能.配置認(rèn)證端口和監(jiān)控端口.選擇認(rèn)證服務(wù)器.配置RADIUS認(rèn)證服務(wù)器配置認(rèn)證端口和監(jiān)控端口使用用戶認(rèn)證服務(wù)器，管理員必須配置防火墻用戶認(rèn)證模塊監(jiān)聽的認(rèn)證端口、檢測用戶在線情況的監(jiān)控端口。選擇認(rèn)證服務(wù)器管理員可以啟用防火墻本地帳號服務(wù)器，也可以啟用標(biāo)準(zhǔn)的RADIUS服務(wù)器。默認(rèn)使用防火墻本地帳號服務(wù)器.本地帳號服務(wù)器可以提供更多的控制功能：e提供基于角色的用戶策略，并與安全規(guī)則策略配合完成強(qiáng)訪問控制。主要包括：安全策略和授權(quán)服務(wù)，其中，安全策略是限制用戶在什么時(shí)間、什么源IP地址可以登錄防火墻系統(tǒng)，而授權(quán)服務(wù)則定義了該用戶通過認(rèn)證后能夠享有的服務(wù)。e支持對用戶帳號的流量控制和時(shí)間控制e客戶端可以修改密碼e服務(wù)器端檢查用戶在線狀態(tài)e支持PAP和S/Key認(rèn)證協(xié)議配置RADIUS認(rèn)證服務(wù)器啟用RADIUS認(rèn)證服務(wù)器，需要配置RADIUS認(rèn)證服務(wù)器所在的IP地址、認(rèn)證端口中、審計(jì)端口及與防火墻加密通信的密鑰。3.6報(bào)告設(shè)置日志服務(wù)器防火墻各功能模塊提供標(biāo)準(zhǔn)日志記錄。啟用日志記錄后，默認(rèn)情況下日志存儲在防火墻本地。防火墻也可以將日志發(fā)往第三方的日志服務(wù)器，日志服務(wù)器可以與防火墻的任意網(wǎng)口連接。防火墻提供隨機(jī)日志服務(wù)器軟件，提供強(qiáng)大的日志存儲與審計(jì)功能。系筑配宜報(bào)告設(shè)苴A日志聯(lián)等器圖3錯(cuò)誤!未定義書簽。日志服務(wù)器配置此界面提供以下功能.配置日志服務(wù)器.轉(zhuǎn)到“系統(tǒng)監(jiān)控〉〉日志信息”界面配置日志服務(wù)器需要管理員配置日志服務(wù)器IP、防火墻與日志服務(wù)器通信的協(xié)議與端口.防火墻默認(rèn)使用syslog方式向第三方發(fā)送日志，端口514/協(xié)議UDP。轉(zhuǎn)到“系統(tǒng)監(jiān)控〉〉日志信息”界面點(diǎn)“查看日志"按鈕，轉(zhuǎn)到“系統(tǒng)監(jiān)控＞〉日志信息”界面.6.2報(bào)警郵箱可以設(shè)置防火墻的報(bào)警郵箱.在集群模塊啟用時(shí)，可以給防火墻管理員發(fā)報(bào)警郵件。系舞和苴力報(bào)告談萱8報(bào)警蜂箱圖35報(bào)警郵箱配置此界面包括以下功能.配置報(bào)警郵箱.轉(zhuǎn)到“網(wǎng)絡(luò)配置》〉域名服務(wù)器”界面配置報(bào)警郵箱配置報(bào)警郵箱并指定該郵箱所在SMTP服務(wù)器的IP地址和端口轉(zhuǎn)到“網(wǎng)絡(luò)配置〉〉域名服務(wù)器”界面點(diǎn)“修改DNS配置”按鈕，轉(zhuǎn)至卜'網(wǎng)絡(luò)配置＞＞域名服務(wù)器”界面.如果不能正常發(fā)郵件,請檢查DNS配置是否正確.363集中管理支持防火墻的集中管理(SNMPv2,v3)o防火墻可以與聯(lián)想網(wǎng)御集中安全管理系統(tǒng)無縫聯(lián)動(dòng)。管理員配置集中管理主機(jī)的IP和各項(xiàng)監(jiān)控信息的閥值。當(dāng)防火墻運(yùn)行信息超過閥值后,通過SNMP協(xié)議與該集中管理主機(jī)發(fā)trap信息.監(jiān)控信息包括:系統(tǒng)名字版本號序列號、CPU利用率、內(nèi)存利用率、網(wǎng)絡(luò)接口狀態(tài)、網(wǎng)絡(luò)連通狀態(tài)。通過TRAP信息發(fā)給集中管理中心，為網(wǎng)絡(luò)管理人員提供全面、易用、高效的實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)資源使用狀況的工具和手段。相關(guān)信息也可以在防火墻的"系統(tǒng)監(jiān)控〉〉網(wǎng)絡(luò)接口”界面和〃系統(tǒng)監(jiān)控〉＞資源狀態(tài)”查看.摹裝配苴冷掂告設(shè)：S＞＞集中管理圖3錯(cuò)誤!未定義書簽。集中管理配置圖表3錯(cuò)誤!未定義書簽。集中管理配置元素表域名說明集中管理主機(jī)IP集中管理主機(jī)IP防火墻名稱防火墻名稱本機(jī)備注對防火墻的描述負(fù)責(zé)人姓名負(fù)責(zé)人電話CPU利用率閥值如果實(shí)際利用率超過該值，則向集中管理主機(jī)發(fā)送報(bào)警信息內(nèi)存利用率閥值如果實(shí)際利用率超過該值，則向集中管理主機(jī)發(fā)送報(bào)警信息磁盤利用率閥值如果實(shí)際利用率超過該值，則向集中管理主機(jī)發(fā)送報(bào)警信息輸入以上各域內(nèi)容，點(diǎn)“確定”完成集中管理主機(jī)配置。.7入侵檢測防火墻本身主要在鏈路層進(jìn)行訪問控制，入侵檢測技術(shù)是防火墻技術(shù)的邏輯補(bǔ)償。作為一種數(shù)據(jù)通信監(jiān)視手段，入侵檢測技術(shù)對于每一個(gè)進(jìn)出數(shù)據(jù)包都要進(jìn)行解碼分析和模式匹配，如果發(fā)現(xiàn)該數(shù)據(jù)包中含有與已知的攻擊方法特征庫相匹配的數(shù)據(jù)，則斷定有入侵事件發(fā)生，發(fā)出警報(bào)提醒管理員注意，并可以自動(dòng)阻斷源IP地址，及時(shí)地將攻擊者拒之門外。聯(lián)想網(wǎng)御防火墻將入侵檢測技術(shù)無縫地集成到自身當(dāng)中,極大地提高了防火墻檢測數(shù)據(jù)驅(qū)動(dòng)型攻擊的能力。由于防火墻本身部署的特點(diǎn)，只能對通過防火墻的數(shù)據(jù)包進(jìn)行檢測，如果用戶需要對整個(gè)網(wǎng)絡(luò)的潛在攻擊進(jìn)行監(jiān)控，建議選用聯(lián)想的網(wǎng)御系列入侵檢測產(chǎn)品.入侵檢測模塊主要功能特點(diǎn)包括：實(shí)時(shí)網(wǎng)絡(luò)數(shù)據(jù)流監(jiān)控實(shí)時(shí)監(jiān)視進(jìn)出防火墻的所有通信流，分析網(wǎng)絡(luò)通信會話軌跡。信息收集與分析同步進(jìn)行,快速反應(yīng)，一旦發(fā)現(xiàn)可疑信息，及時(shí)報(bào)警并響應(yīng).網(wǎng)絡(luò)攻擊模式匹配預(yù)置的已知攻擊模式規(guī)則庫，能檢測多種攻擊行為，最大限度地防范黑客的入侵和內(nèi)部用戶的非法使用.規(guī)則庫可以在線升級，確保能夠識別最新的黑客攻擊手段。針對入侵行為的實(shí)時(shí)自動(dòng)響應(yīng)能夠自動(dòng)響應(yīng)入侵事件，除了報(bào)警和寫日志外，可以做到實(shí)時(shí)阻斷可疑連接,同時(shí)防火墻還可以和其它廠商的IDS產(chǎn)品如“天闐”、“天眼”IDS實(shí)現(xiàn)聯(lián)動(dòng)，威力強(qiáng)大。靈活的檢測策略設(shè)置內(nèi)置十六種檢測策略，用戶可以隨意組合使用，做到量體裁衣,突出重點(diǎn)。支持用戶添加自定義檢測規(guī)則用戶可以根據(jù)自己的實(shí)際情況和感興趣的安全事件添加自定義檢測規(guī)則，體現(xiàn)個(gè)性化服務(wù)。支持高級用戶調(diào)整檢測規(guī)則管理員可根據(jù)IDS保護(hù)的網(wǎng)絡(luò)的具體情況，調(diào)整檢測策略中的檢測規(guī)則,將容易引起誤報(bào)的規(guī)則禁用，更好地提高入侵檢測的效率。全天候報(bào)警方式可自動(dòng)將報(bào)警信息傳送到管理員的電子郵箱,顯現(xiàn)在移動(dòng)通訊設(shè)備上，實(shí)現(xiàn)離線監(jiān)控。典型的應(yīng)用實(shí)例如下圖36典型應(yīng)用拓?fù)淠称髽I(yè)內(nèi)部網(wǎng)拓?fù)鋱D如圖2-15，防火墻的三個(gè)網(wǎng)口分別連接到內(nèi)部網(wǎng)、對外服務(wù)器和路由器。內(nèi)部網(wǎng)主機(jī)通過防火墻可以訪問對外服務(wù)器和Internet；外部網(wǎng)絡(luò)可以訪問對外服務(wù)器，但不能訪問內(nèi)部網(wǎng)。企業(yè)網(wǎng)絡(luò)管理員希望啟用防火墻的入侵檢測功能，以發(fā)現(xiàn)各種非法入侵企圖，并啟用自動(dòng)響應(yīng)功能，將出現(xiàn)在“檢測結(jié)果”中的源IP地址自動(dòng)阻斷一段時(shí)間.基本配置首先,登錄防火墻配置管理界面后，通過左側(cè)菜單欄的系統(tǒng)配置＞〉入侵檢測，即出現(xiàn)入侵檢測的管理界面。

系輸配苴A入侵檢淵啟基本配置圖315基本配置基本配置可以設(shè)置是否啟動(dòng)入侵檢測，及監(jiān)聽的網(wǎng)口和網(wǎng)段。策略配置策略配置可以允許管理員選擇某些策略使之生效，以對付入侵。系疑配苴A入侵檢圖＞＞癡睡宜檢刑策電四自定更檢洌X黑客掃描攻擊檢辿XFTP熨擊接曲X里客電船攻擊倒典TELMIT軟擊畫1X主要拉惻里客班擊串伴.目前^蠟檢陋1口喇成擊行為」苴粒惻范圍SNTFBf擊檢冽X包括：恃洛伊中馬檢辿X日端事件，目用方郵帝■川芻13L忤口的為，包招針對皿叫出處引S、”AT的端口掃荒.T仃院秘［曲善等口口監(jiān)熨擊檢曲XBITBIOS9擊檢刈FinE.r試麻.目帶工蠟檢也到1謝陵行為,包括針對內(nèi)踹口的煙沖X區(qū)海出攻擊和漏:膿擊0電-5口迎擊檢冽X闿iff度擊.目說髓檢11倒E例比突號為，主案是銅的際的蝌區(qū)通HEE攻擊檢辿X出攻擊口兀酎攻擊檢曲X培生■制!IX圖37入侵檢測策略配置ids的報(bào)警郵箱設(shè)置與整個(gè)系統(tǒng)的報(bào)警郵箱設(shè)置在一起，系統(tǒng)報(bào)警郵箱的設(shè)置在系統(tǒng)配置一＞報(bào)告設(shè)置-〉報(bào)警郵箱下，系舞配苴＞＞報(bào)告唆宜加報(bào)警郵箝

設(shè)置好報(bào)警郵箱后，ids系統(tǒng)會在入侵紀(jì)錄達(dá)到100條或時(shí)間間隔達(dá)到30秒時(shí)，自動(dòng)發(fā)送所有的入侵紀(jì)錄到此郵箱中。自定義檢測從列表中可以查看當(dāng)前的所有的自定義規(guī)則，管理員可以生效或失效一條規(guī)則，來檢測或取消檢測某一類入侵事件。摹統(tǒng)置入侵檢源＞〉自定義檢Si管理員可以添加一條自定義規(guī)則，如下所示:圖38自定義入侵規(guī)則列表注意事項(xiàng)：如果正常的網(wǎng)絡(luò)行為引起某條規(guī)則大量誤警，可以將該條規(guī)則禁用。自動(dòng)響應(yīng)功能最好在正常運(yùn)行一段時(shí)間后，當(dāng)誤報(bào)已經(jīng)減少到很低程度時(shí)再啟用。有時(shí)FTP服務(wù)器或DNS服務(wù)器會引發(fā)掃描報(bào)警，這屬于誤報(bào)，可以調(diào)整掃描時(shí)間閾值或者將這些服務(wù)器的IP地址添加到忽略掃描報(bào)警的地址列表中。有時(shí)在檢測結(jié)果中會看到對外服務(wù)器的IP出現(xiàn)在攻擊者的源地址中,比如從對外服務(wù)器的80端口到某個(gè)外部IP地址的高端口，報(bào)警信息為發(fā)現(xiàn)了403forbidden的特征字符串。這條報(bào)警信息并不意味著對外服務(wù)器是攻擊者，恰恰相反，正是由于某個(gè)外部IP通過防火墻向?qū)ν夥?wù)器發(fā)起了非法的web請求，導(dǎo)致服務(wù)器返回“403禁止訪問”的信息，所以攻擊者是外部IP地址主機(jī)。但是由于防火墻的自動(dòng)響應(yīng)功能只阻斷檢測結(jié)果中的源IP地址，因此為了確保服務(wù)器不被阻斷，最好將服務(wù)器的IP地址放入忽略自動(dòng)阻斷的地址列表中。掃描檢測配置管理員點(diǎn)擊“掃描檢測配置”，將掃描時(shí)間閾值由3分鐘內(nèi)發(fā)現(xiàn)5次端口連接調(diào)整為10秒鐘內(nèi)發(fā)現(xiàn)3次端口連接.如下圖所示.圖39掃描檢測配置自動(dòng)響應(yīng)配置管理員可以啟用自動(dòng)響應(yīng)功能，并設(shè)置阻斷時(shí)間為12秒。如下圖所示:條穗直》，入信檢圖》自初中應(yīng)配直圖3錯(cuò)誤!未定義書簽。自動(dòng)響應(yīng)功能設(shè)置完畢后，自動(dòng)響應(yīng)功能生效.一旦有觸發(fā)檢測規(guī)則的可疑事件發(fā)生，出現(xiàn)在檢測結(jié)果中的源IP地址立即被自動(dòng)列入系統(tǒng)黑名單中，發(fā)起者的通信被防火墻阻斷,可疑行為將無法繼續(xù)進(jìn)行下去.管理員可以自定義阻斷時(shí)間（以秒為單位），如果不填寫時(shí)間，則視為永遠(yuǎn)不解除阻斷。清除已經(jīng)阻斷的IP地址，可以清除防火墻系統(tǒng)的所有已經(jīng)阻斷的IP地址，包括ids聯(lián)動(dòng)系統(tǒng)阻斷的地址。注意:攻擊者可以偽造地址進(jìn)行攻擊，所以開啟改項(xiàng)功能有可能導(dǎo)致對被偽造IP的DOS攻擊或網(wǎng)絡(luò)通信異常，因此推薦一般情況下不要打開此項(xiàng)功能.檢測結(jié)果管理員點(diǎn)擊界面中的“檢測結(jié)果”，可以查看所有的入侵，頁面如下所示。茶熨配直AA侵檢測〉濯測結(jié)果行號聯(lián)攻擊書造地立慈口甚僮擊勢目的地■:盜口事件主祟風(fēng)