入侵检测应用实例

任务概述

BlackICE是ISS公司的入侵检测产品，它最具特色的地方是内置了应用层的入侵检测功能，并且可以与自身的防火墙进行联动，自动阻断各种已知的网络入侵。本任务的目标就是熟悉该软件的安装、设置及各项入侵检测功能。

任务目标

●能够了解BlackICE软件的特点

●能够熟练掌握BlackICE软件的安装及设置

●能够掌握BlackICE软件的具体应用

学习内容

BlackICE Server Protection软件（以下简称B1ackICE）是由ISS安全公司出品的一款著名的入侵检测系统。BlackICE集成有非常强大的检测和分析引擎，可以识别多种入侵技巧，给予用户全面的网络检测及系统呵护。而且该软件还具有灵敏度及准确率高、稳定性出色、系统资源占用率极低的特点。

BlackICE安装后以后台服务的方式运行，前端有一个控制台可以进行各种报警和修改程序的配置，界面很简洁。BlackICE软件最具特色的地方是内置了应用层的入侵检测功能，并且能够与自身的防火墙进行联动，可以自动阻断各种已知的网络攻击行为。

一、BlackICE的安装

BlackICE Server是一款共享软件，下载后双击安装文件，如图5-20所示;单击Next，如图5-21所示。

图5-20 开始安装

图5-21 输入注册码

输入注册码，单击Next，按默认路径安装在C盘。如图5-22所示。

图5-22 AP Off和AP On选项

会弹出一个对话框，有AP Off和AP On两个选项。其中AP On的意思是应用程序控制，也就是安装后扫描系统中的所有文件，如果发现木马或是一些病毒程序即时将其杀死。因为会找出将要连接Internet的程序，并对所有应用程序的运行进行控制，所以可以防止木马程序访问网络。为安全起见，我们选择“AP On”。AP Off的意思是不检测，直接跳过去。选AP On后单击Next，会对硬盘里的文件进行扫描，之后再单击Next。如图5-23所示。

图5-23 完成安装

单击Finish安成。然后安装汉化包。接下来重新运行BlackICE就可以了。

二、BlackICE的设置

右击任务栏中的小图标，选择“编辑BlackICE的设置”，单击“防火墙”，如图5-24所示。

图5-24 防火墙设置

默认防护级别为“完全信任”，允许所有入站信息，一般不选这个，建议选取“高度警惕”或是“怀疑一切”，特别对于一些安全意识不强的人建议选最高的“怀疑一切”，它将拦截所有不经请求的入站信息。

我们再来看一下第二个选项卡数据包日志，如图5-25所示。

图5-25 数据包日志设置

选择默认值。接下来看证据日志选项卡，如图5-26所示。

图5-26 证据日志设置

证据日志的主要作用是用来记录入侵者的信息，建议打钩，可以用来做入侵者的证据。日志文件选默认就可以了。接下来我们看一下回溯，如图5-27所示。

图5-27 回溯设置

在这里选择是否跟踪并分析攻击者的网络信息，其中第一项是启用DNS追踪，而第二项是启用NetBIOS节点追踪，建议全部选中，用来追踪入侵者的信息。

入侵检测选项卡是用来设置允许哪个IP进来，直接添加就可以，如图5-28所示。

图5-28 入侵检测设置

可以在通告选项卡设置出现异常事件时是否进行提示及是否进行声音报警，通常应该选中。左边是可以显示的图，右边是可以听到的声音。下面是更新通知启用检查，打钩则每隔三天会自动更新。如图5-29所示。

图5-29 通告设置

提示选项卡默认就可以，如图5-30所示。

图5-30 提示设置

再来看一下应用程序控制选项卡，这个是指运行程序时的提示。“当一个未知的应用程序加载时”和“当一个修改的应用程序加载时”，应该怎么办? 为了安全起见，可以在此标签下选择询问我怎么做。如图5-31所示。

图5-31 应用程序控制设置

通讯控制设置同上，根据需要设置，如图5-32所示;高级防火墙设置如图5-33所示。

图5-32 通讯控制设置

图5-33 高级防火墙设置

可以看到黑色代表禁止，绿色代表通行。这里可以添加IP，也可以添加端口，如图5-34所示。

图5-34 添加防火墙项目

这里添加的是IP，直接点添加，这个192.168.0.30就永久被禁止通行了。再来看一下端口是怎么屏蔽的，如图5-35所示。

图5-35 屏蔽端口

如果有UDP的话，那么在类型那里选。高级应用程序保护设置如图5-36所示。

图5-36 高级应用程序保护设置

三、BlackICE的使用

设置好BlackICE后，就可以操作使用了。BlackICE软件提供了详细的检测日志，“入侵者”中列出了BlackICE发现的全部可疑IP地址，逐一点击可以查看每个IP的详细信息，包括IP地址、节点名、组、NetBIOS名称、MAC地址和DNS解析地址等，如图5-37所示。查看事件如图5-38所示。思考练习

图5-37 查看入侵者

图5-38 查看事件

一、填空题

1.防火墙的主要功能有__________、__________和__________。

2.根据应用的不同，代理主要有3种基本类型__________、__________和__________。

3.__________技术是在网络层上依据系统内设置的过滤逻辑，即访问控制表来对数据包进行选择，借助报文中的优先级、TOS、UDP或TCP端口等信息，通过在接口输入或输出方向上使用访问控制规则来实现对数据包的过滤。

4.__________是防火墙进行保护工作的核心，所有的防护工作都根据这些可以被管理员自行配置的安全策略来进行。

5.按系统各模块的运行方式可以将入侵检测系统分为__________和__________。

二、选择题

1.防火墙技术分为（ ）。

A.包过滤防火墙 B.应用代理防火墙

C.状态检测防火墙 D.病毒防火墙

2.仅设立防火墙，而没有（ ），防火墙形同虚设。

A.管理员 B.安全操作系统

C.安全策略 D.防病毒系统

3.下面说法错误的是（ ）。

A.规则越简单越好

B.防火墙和规则集是安全策略的技术实现

C.建立一个可靠的规则集对于实现一个成功、安全的防火墙来说是非常关键的

D.防火墙不能防止已感染病毒的软件或文件

4.（ ）作用在网络层，针对通过的数据包，检测发送地址、目的地址、端口号、协议类型等标志，确定是否允许数据包通过。

A.包过滤防火墙 B.应用代理防火墙

C.状态检测防火墙 D.分组代理防火墙

5.以下入侵检测系统不是按照数据来源划分的是（ ）。

A.基于主机的入侵检测系统 B.基于网络的入侵检测系统

C.混合型入侵检测系统 D.基于误用的入侵检测系统

三、简答题

1.简述防火墙的功能。

2.简述什么是包过滤防火墙及其主要优缺点。

3.简述什么是应用代理防火墙及其主要优缺点。

4.什么是入侵检测系统?

单元要点归纳

防火墙和入侵检测系统是网络安全最基本的安全设备，防火墙如同门卫，对进出的数据流进行检测，满足进出条件的才可以通过;入侵检测系统如同大楼内的监视系统，随时可以发现可疑的事件，以便及时处理。防火墙技术有三类，第一类是包过滤技术，第二类是应用代理技术，第三类是状态检测技术。入侵检测分为基于主机的入侵检测系统、基于网络的入侵检测系统和分布式入侵检测系统，要了解每种入侵检测的基本方法和入侵检测过程并掌握常见防火墙和入侵检测工具的使用。