如何设置入侵检测系统
简单配置入侵检测方法步骤如下(这里以H3C的设备为例):
登录Web管理端:使用https的方式访问设备的Web管理端地址,使用正确的用户名和密码登录管理系统;
配置指定ip范围:配置只针对指定IP范围192.168.0.0/16的IPv4流量和所有IPv6的流量进行网络入侵攻击检测通过页面上方菜单栏进入“策略 – 检测策略 – 流量检测配置”菜单,“流量检测范围”配置栏包含当前入侵检测引擎对于需要进行网络入侵攻击检测的流量的IP范围过滤,默认为192.168.0.0/16,172.16.0.0/12,10.0.0.0/8,::,即监控IPv4三个标准内网网段流量,以及所有IPv6流量,进行网络入侵攻击检测可以根据需求自行设置;
配置禁用类别为“ActiveX攻击”的网络攻击事件告警:如果发现某一类别的网络攻击事件出现大量误报,可以临时将该类别的网络入侵检测规则禁用,进入“策略 – 检测策略 – 流量检测配置”菜单,“流量检测规则项”配置中包含对于网络入侵检测知识库的规则的相关配置,勾选“ActiveX攻击”类别,点击下方的“x”按钮,禁用“ActiveX攻击”这一类别的所有规则所能触发的网络攻击事件告警日志;
配置禁用规则名称为“针对MicroLogix 1100控制器拒绝服务攻击”的网络攻击事件告警:进入“策略 – 检测策略 – 流量检测配置”菜单,“流量检测规则项”配置中包含对于网络入侵检测知识库的规则的相关配置,在规则名称搜索栏输入想要禁用的规则名称,如“针对MicroLogix 1100控制器拒绝服务攻击”,点击搜索按钮,即可定位到该规则所在的类别及其位置,点击勾选规则名称前面的勾选框,点击规则类别内下方的“x”按钮,或者规则列表栏内的“状态”按钮,可禁用“针对MicroLogix 1100控制器拒绝服务攻击”这一条规则所能触发的网络攻击事件告警日志;
ps:上述只是对入侵检测系统几个事件告警进行配置,实际使用中可以根据需求配置不同。