自己动手打造高性能入侵检测防御系统(2)
图14 Firewall标签配置界面
接下来出现的“Notification”标签配置界面,用来设置通过E-Mail发送警报的方式,如果不需要使用此功能,我们可以直接单击此界面中的“Next”按钮,就可以进入如图4.6所示的“Rules”标签配置界面。
图15 Rules标签配置界面
“Rules”标签配置界面中的内容用来设置自动检测新规则的具体时间,以及更新新的规则时的缺省动作。对于免费版的strata guard来说,只能使用手动更新的方式来更新新的规则,因此也就不必对此界面中的内容做出调整,保持其默认后单击“Next”按钮,就会进入如图4.7所示的“Thresholds”标签配置界面。
图16 Thresholds标签配置界面
“Thresholds”标签配置界面中的内容用来设置发现某种严重程度的攻击时,用Red、Yellow和Green三种颜色中的哪种颜色来显示。如果我们对strata guard目前所处网络中的攻击方式不熟悉,那么在初始化设置时可以暂时不对此界面中的内容进行修改,等到strata guard入侵检测防御系统运行一段时间后,再根据实际情况来修改。因此,在初始化设置strata guard入侵检测防御系统时,可以直接单击此界面中的“Done”按钮,在出现的提示是否保存所有修改的对话框中单击“OK”按钮,就可以完成整个strata guard入侵检测防御系统的初始化设置,并且会自动重新启动系统,以使所有的初始化设置生效。
当strata guard入侵检测防御系统重新启动后,重新通过WEB浏览器连接strata guard,在出现的登录界面中输入初始化设置时建立的管理员帐户和密码,单击“OK”按钮后就会出现如图4.8所示的WEB管理主界面。
图17 strata guard的WEB管理主界面
在进入strata guard的WEB管理主界面后,可能会弹出一个是否启用“Quick-tune”功能的界面,如图4.9所示。
图18 Quick-tune功能启用界面
Quick-tune功能主要用来设置我们网络中使用的哪些操作系统和服务器的活动不会触发警报,这样就会使用strata guard入侵检测系统在检测过程中降低误报率,而将所有功能都集中到有意义的攻击检测上去。使用这种功能并不是必需的,但还是推荐启用Quick-tune功能。
我们可以在Quick-tune功能启用界面中的“Select the operating systems on your network”区域选择网络中主机使用的操作系统类型,在“Select the Web servers on your network”区域选择网络中应用的WEB服务器,如果不能确定网络中使用什么样的WEB服务器,那么选择所有类型。然后在“Select attacks to ignore”区域,选择需要忽略的攻击,我们可以按要求来选择,通过这些来减少误报的产生。完全设置后,在“Apply changes”区域,单击“Override”按钮写入刚才的配置,然后单击此界面中的“Run Quick-tune”按钮启动此功能。
Strata guard入侵检测防御系统的攻击特征库
新的网络攻击方法会不断地出现,为了让Strata guard入侵检测防御系统能够检测和阻止这些新的网络攻击,我们就必需不断更新它的攻击特征库。对于免费版的Strata guard,我们可以在任何时候通过WEB方式连接到Strata guard入侵检测防御系统,然后单击其WEB主界面右上角的“Configure System”按钮,打开如图5.1所示的配置系统界面。在此界面中选择“Rules”标签,打开规则标签页,然后单击其中的“Check for rule updates”就可以更新Strata guard入侵检测防御系统的攻击特征库。
我们也可以到http://sgfree.stillsecure.com网站下载最新攻击规则来更新Strata guard的攻击特征库。Strata guard的攻击规则可以是SAT-Developed规则、Open Source Snort Rules Consortium(OSSRC)规则,也可以是VRT规则或与Snort兼容的其它GPL授权的规则。所有的攻击规则在被Strata guard入侵检测防御系统使用之前,都会被StillSecure公司的事件警报组(Security alert team)重新审查和试验。Strata guard还允许我们自行定制攻击规则添加到攻击库中,定制的方式与定制Snort攻击规则相同。
图19 Strata guard的配置系统界面
综上所述,以免费版的Strata guard入侵检测防御软件加定制的PC打造的高性能入侵检测防御系统,不仅为中小企业节省了大量的IT安全投入成本,而且还得到了与同等性能的传统IPS相同的安全防范功能。因此,使用本文所述方法打造的网关型入侵检测防御系统,完成可以成为某些中小企业选择IPS时的另一种不错的选择。我相信大家在看过本文后,都已经对它产生了浓厚的兴趣,那么,从现在开始就动手试试吧。
- 最新评论