入侵防护实施方案(共80页).doc

《入侵防护实施方案(共80页).doc》由会员分享，可在线阅读，更多相关《入侵防护实施方案(共80页).doc（80页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、精选优质文档-倾情为你奉上*客户McAfee IPS入侵检测设备实施方案McAfee公司上海办事处Tel: 021-2022年5月18日专心-专注-专业目 录 1 方案概述此次太平洋集团的网络入侵检测（以下简称IPS）安全强化项目的主要目的为提高整个网络的安全性，加强风险抵御能力。风险管理的过程中，如何有效地消除威胁、降低风险是关键，因此，我们首先应该建立全面的系统和网络防御体系。*客户目前已经建立了一套比较系统的终端安全措施，而McAfee为客户提供了主动的网络防护系统，帮助用户对抗未知的和将来出现的威胁，包括通过McAfee IntruShield（即IPS）构件完善的企业安全边界系统，在

2、网络边界实时准确的阻断各类网络攻击行为，DoS/DDoS攻击及未知的攻击流量，并对P2P、IM等应用流量进行管理，完善整个*客户的网络安全建设。本方案主要包括的内容为与实施相关的各项工作，项目组组成人员，实施细节，实施进度以及验收等事项。2 人员和组织结构2.1 项目的组织机构及人员图 1. 实施小组人员分工项目小组人员介绍姓名职务工作内容电子邮件电话何兴伟McAfee销售经理负责协调各方资源陆亚灵McAfee技术工程师参与整个项目的技术讨论，负责协调技术案件的优先级，文档管理员赵树佳McAfee技术工程师参与整个项目的技术讨论，负责具体的实施，实施工程师常昊McAfee技术工程师参与整个项目

3、的技术讨论，作为后备技术力量，备用人员任峥慧McAfee支持客户经理作为*客户的技术问题接口，负责协调后线的技术支持，技术支持小组李俊斌*客户 项目经理负责协调所有资源，控制项目进度lijunbin*客户王磊*客户网络组协调窗口协调网络配套资源，进行端口设定，地址分配，配置更改Wang-lei*客户陈允宾 综合协调作为项目接口负责协调各方资源Barry孙晓明项目协调-应用层sunxm*客户朱峰项目协调-网络层Zhufeng1 *客户表1 项目参与人员2.2 项目实施计划时间内容参与人员里程碑6-May实施方案初稿McAfee7-May对初稿进行讨论，提出修改意见，进行完善McAfee/*客户8

4、-May确定ISM，IP地址，设备要求，带宽McAfee/*客户12-May实施方案定稿McAfee/*客户实施方案终稿13-May 确认环境需求McAfee14-May环境准备，包括电源，机柜等*客户14-30 May安装ISM，策略配置McAfee/*客户软件调试完毕设备到货30-May 设备到货，准备拷机。McAfee/*客户设备上机柜13-15 June陆家嘴设备上线，设置 IDS 策略McAfee/*客户实施阶段一完毕21-23 June南汇设备上线，设置IDS策略27-June 策略调整 IPS策略McAfee/*客户实施阶段二完毕28-June项目结束。验收McAfee/*客户验

5、收报告表2 项目计划时间3 产品部署方式整个实施的架构示意如图所示，总共有8台设备，包括4台IPS3000，2台IPS2700，2台1400。8台设备通过一个统一的管理平台IntruShield Manager（ISM）进行管理。其中ISM做了主备设置，分别为ISM-1，ISM-2。3.1 部署示意图图 2. 部署示意图型号数量位置说明I-300042台放在陆家嘴OA的链路上，2台放在南汇数据中心接入链路I-27002放在南汇数据中心的电子商务和INT出口链路I-14002放在陆家嘴的INT出口链路接线分解示意图：图 3. 陆家嘴接线示意图图 4. 南汇接线示意图3.2 各个设备的端口配置表设

6、备编号线路类型端口编号对端设备对端接口编号线路类型线路说明i-3000-11ALC3000-1-1AFS6509-1Port 1/1SC陆家嘴核心线路11BLC3000-1-1BCS6506-1Port 3/15SC陆家嘴核心线路16ALC3000-1-6Ai-3000-23000-2-6BLCHA 心跳线6BLC3000-1-6Bi-3000-23000-2-6ALCHA 心跳线i-3000-21ALC3000-2-1AFS6509-2Port 1/1SC陆家嘴核心线路21BLC3000-2-1BCS6506-2Port 3/15SC陆家嘴核心线路26ALC3000-2-6Ai-3000-1

7、3000-1-6BLCHA 心跳线6BLC3000-2-6Bi-3000-13000-1-6ALCHA 心跳线i-3000-31ALC3000-3-1AC7507-1GE 1/0/0SC南汇核心线路11BLC3000-3-1BC6506-1Port 1/1LC南汇核心线路12ALC3000-3-2AC7507-2GE 4/0/0 SC南汇核心线路22BLC3000-3-2BC6506-1Port 1/2LC南汇核心线路23ALC3000-3-3AC7609-2GE 5/1 LC南汇核心线路33BLC3000-3-3BC6506-1Port 1/10LC南汇核心线路36ALC3000-3-6Ai

8、-3000-43000-4-6BLCHA 心跳线6BLC3000-3-6Bi-3000-43000-4-6ALCHA 心跳线i-3000-41ALC3000-4-1AC7507-1GE 4/0/0SC南汇核心线路11BLC3000-4-1B C6506-2Port 1/2LC南汇核心线路12ALC3000-4-2A C7507-2GE 1/0/0SC南汇核心线路22BLC3000-4-2B C6506-2Port 1/1LC南汇核心线路23ALC3000-4-3AC7609-2GE 6/1LC南汇核心线路33BLC3000-4-3BC6506-2Port 1/10LC南汇核心线路36ALC30

9、00-4-6Ai-3000-33000-3-6BLCHA 心跳线6BLC3000-4-6Bi-3000-33000-3-6ALCHA 心跳线i-2700-11A10/100M2700-1-1ANokia-1E 310/100M电子商务核心线路11B10/100M2700-1-1BC6505-1G 3/110/100M电子商务核心线路12A10/100M2700-1-2APIX-1E 110/100M电子商务INT出口线路12B10/100M2700-1-2BC2950-3F 0/110/100M电子商务INT出口线路13A10/100M2700-1-3APIX-1E 210/100M电子商务I

10、NT出口线路23B10/100M2700-1-3BC2950-2F 0/110/100M电子商务INT出口线路24ASC2700-1-4Ai2700-22700-2-4AGBIC/LC HA 心跳线i2700-21A10/100M2700-2-1ANokia-2E310/100M电子商务核心线路21B10/100M2700-2-1BC6506-2G 3/110/100M电子商务核心线路22A10/100M2700-2-2APIX-2 E110/100M电子商务INT出口线路12B10/100M2700-2-2BC2950-3F0/210/100M电子商务INT出口线路13A10/100M270

11、0-2-3APIX-2 E210/100M电子商务INT出口线路23B10/100M2700-2-3BC2950-2F0/210/100M电子商务INT出口线路24ASC2700-2-4Ai-2700-12700-1-4AGBIC/LC HA 心跳线i1400-11A10/100M1400-1-1A Nokia710-1E3 10/100M陆家嘴INT出口线路11B10/100M1400-1-1BSF6509-1Port 9/4410/100M陆家嘴INT出口线路1R110/100M1400-1-R1i1400-21400-2-R1 10/100MHA心跳线i1400-21A10/100M14

12、00-2-1A Nokia710-2E310/100M陆家嘴INT出口线路21B10/100M1400-2-1BSF6509-2Port 7/210/100M陆家嘴INT出口线路2R1 10/100M1400-2-R1 i1400-11400-1-R110/100MHA心跳线设备规格和要求：ISM控制台要求：（2台，分别为主，备）CPU 主频 3G以上，内存 4G硬盘空间 c: 不小于10G， 安装盘符 不小于40G。操作系统要求：Windows2003 server + SP1 ，以及所有相关的安全补丁。Sensor规格：IntruShield 3000IntruShield 3000设备硬

13、件见下图：图 5. I-3000设备示意图探测端口密度：12个千兆端口（6对，SFP） 端口配置选项： 6 个In-line or 12个Span端口，或者混合端口支持：SFP mini- Gigabit连接器 ( SX , LX , TX )端口 Bypass: 通过外部Fail-Open设备 电源：双冗余电源 IntruShield 2700 图 6. I-2700设备示意图探测端口密度：6个百兆端口，2个GBIC千兆接口 （4对）端口配置选项： 4 组In-line 或8个Span端口，或者混合端口支持：百兆以太口和千兆GBIC口端口 Bypass: 百兆电口支持，GBIC口需要通过外部

14、Fail-Open设备 电源：双冗余电源 IntruShield 1400图 7. I-1400设备示意图探测端口密度：4个百兆检测端口 端口配置选项： 2个In-line或者4个Span端口，或者混合端口 Bypass: 内置Fail-Open功能3.3 项目所需资源列表本次项目涉及的设备较多，相关的资源涉及系统，网络，安全，应用等，下表列出所有相关资源。硬件需求机柜空间本次实施的设备1400为1U厚度，2700 为2U厚度，3000 为2U厚度。另外加装的Fail Open kit需要4U空间如果考虑到ISM的话，假设ISM为2U。共需要22U空间。其中南汇分布的为2台2700，2台300

15、0，一个ISM。陆家嘴分布的为2台1400，2台3000，一个ISM。南汇的需求为12U空间；陆家嘴的需求为10U空间。电源本次实施的设备1400为单电源，2700 为双电源，3000 为双电源。如果考虑到ISM的话，假设ISM为双电源。共需要18个电源其中南汇分布的为2台2700，2台3000，一个ISM。陆家嘴分布的为2台1400，2台3000，一个ISM。南汇的需求为10个电源，陆家嘴的需求为8个电源。ISM服务器CPU 主频 3G以上，内存 4G，硬盘空间144G Raid1。2台交叉网线9条。Firewall和Sensor连接之间有8条，1400的心跳线光纤连线SC-SC 1条，用来

16、连接2700之间的心跳线。LC-LC 4条，用来连接3000之间的心跳线。SC-LC 8条，3000和上、下游之间的连线。LC-LC 8条，3000和上、下游之间的连线。网络要求上网需求ISM之间要求可以互通，Sensor和ISM之间可以互通。ISM服务器可以上外网进行特征库的更新。IP地址共有10台设备，需要10个IP地址，详见下表软件需求操作系统Windows2003 服务器 32位系统版本，SP1以上应用软件系统加固，安装完毕后执行镜像备份设备名IP地址子网掩码网关DNSISM-110.200.15.55255.255.255.010.200.15.254202.96.209.5ISM-

17、210.203.3.25255.255.255.010.203.3.254202.96.209.5设备名地点设备编号管理地址机架号IntruShield3000-1陆家嘴JTZBJY07IPSMC10.200.15.51N12IntruShield3000-2陆家嘴JTZBJY07IPSMC10.200.15.52N12IntruShield1400-1陆家嘴JTZBJY07IPSMC10.200.15.53N12IntruShield1400-2陆家嘴JTZBJY07IPSMC10.200.15.54N12IntruShield3000-3南汇JTZBNH02IPSMC10.203.3.21

18、R5-80IntruShield3000-4南汇JTZBNH02IPSMC10.203.3.22R5-80IntruShield2700-1南汇JTZBNH02IPSMC10.203.3.23R3-60IntruShield2700-2南汇JTZBNH02IPSMC10.203.3.24R3-60型号数量另加备用线总采购8米lc-sc62810米lc-sc2138米lc-lc62810米lc-lc2131米lc-lc124163米线665米线888米线441米反线223米反线445米反线443.4 可靠性保障为了保障核心线路的可靠性，此次实施过程中通过多方面的配置保障其稳定性。3.4.1 Fa

19、il Over故障转移配置说明故障转移主要是针对链路故障时的转移，用配对的设备来实现。要充当故障转移对，两个传感器的型号必须相同，并且必须具有相同的传感器映像。导向到管理控制台，配置FO 配对。各个型号的FO接口说明。型号用于故障转移的端口I-1400响应端口 (R1)I-27004AI-30006A 和 6B1 ）单击 Sensors（传感器） Failover Pairs（故障转移对） Manage Intrushield Failover Pairs（管理 Intrushield 故障转移对）。2）单击 Add（添加）。打开 Create Sensor Failover Pairs（创建

20、传感器故障转移对）对话框。3）选择 Sensor Model（传感器型号）。故障转移对中的两个传感器必须为同一型号。4）键入用于标识这一组合的唯一 Failover Pair Name（故障转移对名称）。名称配对传感器说明I-3000-P123000-13000-2I-3000-P343000-33000-4I-2700-P122700-12700-2I-1400-P121400-11400-25）从下拉菜单中选择 Primary Sensor（主传感器）。6）从下拉菜单中选择 Secondary Sensor（次传感器）。7）单击 Create（创建），或者单击 Cancel（取消）以放弃。

21、保存时，会出现一条消息，以提示故障转移对的创建需要一段时间。单击 OK（确定）。新的故障转移对将作为创建时所在“ Sensors” （传感器）节点的子节点出现。3.4.2 Fail Open 失效开放配置说明实效开放为确保硬件故障时的直通链路。配置示意图如下：项目说明1实效开放旁路开关2失效开放控制端口 X1（RJ11 连接）3旁路开关上的控制端口（RJ45 连接）4RJ45 - RJ11 电缆5到网络设备（内部）的连接（LC 连接）6到网络设备（外部）的连接（LC 连接）7PTx/SRx（内部）到端口 1B 的连接（LC 连接）8STx/PRx（外部）到端口 1A 的连接（LC 连接）界面配

22、置的步骤需要执行以下操作：1）在 ISM 界面中，选择 Sensor_Name（传感器名称） Sensor（传感器） Configure Ports2）在 Monitoring Ports（监视端口）中单击一个端口编号（如 1A）。弹出窗口显示了当前的端口设置。3）选择端口的 Speed（速度）。4）将 Administrative Status（管理状态）选为 Enable（启用）（打开）。5）选择 In-line Fail-Closed (Port Pair)作为 Operating Mode（工作模式）。6）确认（Yes（是）您已连接旁路开关和控制器或控制电缆。7 选择当前端口要连接的网

23、络区域：Inside（内部）或 Outside（外部）8 单击 Ok（确定）。9 单击 Commit Changes（提交更改）。3.5 与FoundStone的系统整合3.5.1 与FoundStone联动说明McAfee的所有安全产品在设计和研发的过程中，均考虑到企业管理和使用的整合性需求，McAfee IntruShield入侵防护产品也是一样，IntruShield可以和Foundstone风险管理产品实现整合，如下图所示：图 8. IntruShield与Foundstone的整合性I. 同Foundstone的整合：1) IntruShield 可以获取并关联 Foundstone

24、 扫描数据；IntruShield 提供了与 Foundstone Enterprise。来自Foundstone的漏洞评估报告包含在某个子网或网络的特定主机或一组主机中检测到的漏洞。例如，一份漏洞评估报告显示主机 10.1.1.x 易受特定缓冲区溢出漏洞的攻击，同时显示了与该攻击有关的 CVE ID /错误跟踪 ID。可以将Foundstone 的漏洞扫描程序报告导入到 ISM。当漏洞扫描程序报告被导入到 ISM 后，ISM 中的漏洞评估模块会将所报告的每个漏洞的 CVE ID /错误跟踪 ID 与 IntruShield 攻击定义模块关联。如果它找到了匹配的 CVE ID /错误跟踪 ID

25、，则会将其存储到 ISM 数据库中。当 ISM 中生成特定攻击的警报时，系统就会把该攻击的 CVE ID 同导入 ISM 数据库中的漏洞报告数据进行比较。如果找到了匹配的 CVE ID/错误跟踪 ID，则在警报管理器的“Vulnerability Relevance”（漏洞关联）列中，这些警报将被标记为 Relevant（相关）。将警报标记为相关可帮助网络管理员方便地查看警报，并按相对关联对警报进行排序。图 9. 风险相关性界面2) Risk Aware IPS 可以优先应对针对脆弱系统的攻击；3) 提高了 IntruShield 的准确性；我们可以通过在Intrushield 警报管理器请求

26、 Foundstone 扫描使用按需扫描功能，可以在“Real-Time Alert Manager”（实时警报管理器）和“Historical Alert Manager”（历史警报管理器）中根据来源或目标 IP 地址扫描主机。从警报管理器中启动按需扫描时，通过传递主机来源或目标 IP 地址，可以借助 ISM 将 SOAP/SSL 请求发送到 FoundScan 引擎。ISM 将使用在 FoundScan 引擎中为 ISM 用户定义的凭证和 FoundScan 客户端证书连接至 FoundStone 引擎。FoundScan 引擎将扫描主机 IP 地址。在这里，FoundScan 引擎使用为

27、 IP 范围（包含主机 IP）定义的扫描配置。完成扫描后，ISM 将检索在已扫描的主机上检测到的漏洞。来自 FoundScan 引擎的 SOAP/SSL 响应包含从 FoundScan 引擎数据库中检索的漏洞信息。系统会将漏洞信息导入 ISM 数据库并在 ISM 漏洞缓存中对其进行更新。这样就能更准确地帮助安全管理员判断出攻击源头和攻击目的是否存在漏洞缺陷，是否急需阻断和修补。图 10. 图15在Intrushield ISM报警界面查看漏洞信息3.5.2 联动配置方法3.5.2.1 配置FoundStone数据库1) 将 fsscripts 文件夹从 /IntruShield/db/ 复制到

28、 Foundstone 数据库服务器。2) 运行 fsscripts 文件夹中的 install.bat 文件。install.bat 文件将会在 Foundstone 数据库中安装三个存储过程和一个临时表。3.5.2.2 配置ISM中的FoundStone扫描参数1) 选择 Root Admin Domain（根管理域） Foundstone Foundstone Configuration（Foundstone配置）链接。此时将显示 Foundstone Configuration（Foundstone 配置）页。2) 在 Enable Configuration（启用配置）选项中，选择

29、Yes（是）以在 ISM 中启用Foundstone 配置设置。3）在 Scan Engine Settings（扫描引擎设置）窗口中，输入 User Name和 Password3.5.2.3 配置ISM中调用FoundStone数据库参数ISM 与 Foundstone 数据库通信，并使用特定于 ISM 的存储过程直接从数据库中获取所需的数据。ISM 根据计划程序的最后一次导入时间，连接到 Foundstone 数据库以获取扫描配置详细信息、Foundstone 引擎详细信息和已扫描的漏洞数据。1) 在 Database Engine Settings（数据库引擎设置）窗口中，输入数据库的

30、 IP Address（IP 地址）。2) 输入 Server Port（服务器端口）。3) 选择 SSL Type（SSL 类型）。SS4) 输入 Database Name（数据库名称）。5) 在相应字段中输入 User Name（用户名）和 Password（密码）。它们用于登录Foundstone 数据库。注意：此用户名定义的数据库用户应有权在 Foundstone 数据库中执行安装过程。6) 单击 Test Connection（测试连接）以连接 Foundstone 数据库。3.5.2.4 配置详细扫描任务参数1) 选择 Root Admin Domain（根管理域） Founds

31、tone Scan Configuration（扫描配置），以访问 Scan Configuration Details（扫描配置详细信息）窗口。2) 要添加 Foundstone 扫描配置，请选择 Add（添加）。此时将显示 Add ScanConfiguration（添加扫描配置）页。可以在此处输入已在 Foundstone 中配置和计划的扫描配置。3) 输入 Organization Name（组织名称）。4) 输入 Scan Name（扫描名称）。5) 如果需要，请在 Short Description（简短说明）字段中输入有关扫描配置的备注。6) 选择 Submit（提交）。7）配置

32、结果如下3.5.2.5 配置计划程序设置1) 选择 Root Admin Domain（根管理域） Foundstone Foundstone Scheduler（Foundstone 计划程序），以访问 Foundstone Scheduler（Foundstone 计划程序）窗口。2) 选择 Schedule Import（计划导入）中的 Yes（是）选项，以便通过 Foundstone 计划程序导入报告。3) 选择 Import Frequency（导入频率）。可以选择每天或每周导入选项。4) 选择 Scheduler Operation Time（计划程序运行时间）。5) 单击 App

33、ly（应用）以保存更改。6) 要查看计划程序配置详细信息，请选择 View Scheduler Detail（查看计划程序详细信息）。7）若设置为每天，则结果如下：3.5.2.6 重新加载 Foundstone 缓存1) 选择 Root Admin Domain（根管理域） Foundstone Reload Cache（重新加载缓存）。此时将显示 Reload Cache（重新加载缓存）窗口。2) 选择 Reload Cache（重新加载缓存），以使用 Foundstone 中的最新扫描配置来更新 ISM 中的 Foundstone Web 缓存。随后会显示一条消息，说明重新加载成功。假设

34、Foundstone 配置已禁用，或者您尚未在 ISM 中配置 Foundstone 配置。这样就会显示以下页面。3.5.2.7 查看 Foundstone 配置详细信息1） 选择 Root Admin Domain（根管理域） Foundstone View Details（查看详细信息）。此时将显示 Foundstone View Details（Foundstone 查看详细信息）页。2） Foundstone View Details（Foundstone 查看详细信息）页显示“ ConfiguringFoundstone” （配置 Foundstone）设置中介绍的 Foundsto

35、ne 配置的详细信息。请注意，Foundstone Configuration（Foundstone 配置）中保存的更改反映在 FoundstoneView Details（Foundstone 查看详细信息）中。4 实施步骤说明4.1 分阶段实施说明为了确保IPS的部署不影响网络的可靠性和可用性，McAfee建议采用循序渐进的分阶段部署方式：准备阶段：安装ISM，配置软件。将传感器添加到ISM上。进行上线前的测试。上线切换：链路切换，将陆家嘴和南汇的设备依次接入生产线路。上线第一阶段：在采用In-Line的方式和HA部署，采用inline IDS策略不做实时阻断；上线第二阶段：运行一周后，评

36、估准确性、性能和可靠性和才开始进行攻击阻断进入IPS策略。上述阶段，McAfee提供白金服务和现场工程师支持，以确保部署的成功。4.2 阶段一 实施准备实施环境主要工作负责人时间计划网络环境准备准备好IntruShield所需的IP地址。控制台IP地址：2个Sensor Manager端口地址：8个详见资源配置列表*客户2008-5-12前准备独立的控制台服务器，服务器性能良好，无故障。*客户需要连接的网络线路准备；设备自带光盘及配置线准备。*客户IntruShield 控制台的安装安装Windows 2003 Server英文操作系统并安装SP1以及最新的系统补丁；CPU最低3GHz；内存空

37、间4G；硬盘空间140G。*客户2008-5-15前参照安装手册，安装所需软件；IntruShield自带数据库，因此无须安装专门的数据库软件。*客户 /McAfee服务器操作系统的各项安全设置。*客户 /McAfeeIntruShield Sensor的安装Sensor的配置数据线，电源线，自带网线及各种配件的准备。*客户 /McAfee2008-5-15前确认Sensor在机架上的位置，将Sensor安装到机架。*客户 /McAfee防火墙的配置在IntruShield控制台和Sensor的通讯链路之间，如果有硬件或者软件防火墙，则需要对防火墙进行相应配置；参考设备安装手册，开启8551，

38、8552和8553端口，以便于控制台和Sensor之间的数据交换。*客户 /McAfee2008-5-15前4.3 安装ISM软件IPS的管理配置是通过一个管理平台ISM来实现的，在本次方案中采取主备双机的方式配置ISM。4.3.1 安装IntruShield Manager1）选择安装的IntruShield Manager版本，双击开始安装。 2) 在出现的安装界面中点击“next”。3) 选择“I accept the terms of the license agreenment”, 点击“next”。4) 选择安装路径，通常使用默认即可。5) 第一次安装默认选择“In a new p

39、rogram Group”, 点击“next”继续。6) 在相应对话框中输入用户名和密码，此用户名和密码用于登录IntruShield Manager以配置IPS各种策略，同时用于登录查看IPS警报等信息，非常重要，请记下！7) 到此步，安装程序将提示安装新的MYSQL数据库，选择“Continue”并在出现的界面中输入数据库管理密码，此密码在以后升级IntruShield Manager或备份恢复配置时使用，需要记下！8) 确定RAM大小，因IntruShield Manager需要运行J2SE Runtime Environment，消耗内存较大，建议安装IntruShield Manag

40、er的设备使用2G内存。9) 后面各步骤只需按默认设置一直点击“next”继续。10) 安装程序自动安装相关程序，等安装程序完成“database update”,点击“done”进入下一步。11) 点击“done”结束IntruShield Manager的安装。4.3.2 安装IntruShield Manager License文件1) 将Mcafee发出的license文件IntruShieldLicense.jar复制到安装目录如默认C：intrushieldconfig下，并重命名为IntruShieldLicense.jar。2) 在任务栏右下方的Intrushield mana

41、ger图标中重启（先STOP再Start）Intrushield的manager、 apache httpd 和watchdog三个服务。3）通过https使用机器名访问Intrushield manager，输入用户名和密码登录成功，Manager安装结束。4.3.3 备份干净的ISM操作系统安装ISM后对系统再作一次Ghost备份，以便以后系统出现故障时以最短时间恢复，系统备份文件命名为“ISMLicensesys”。4.3.4 ISM上添加sensor1) 点击config进入配置界面。2) 点击左边的sensors，从右边的选择sensorsmanage sensorsadd，开始添加要管理的sensor。3) 输入sensor名，如i-3000-1，输入共享密钥，如（与sensor上设置的一致）。点击“submit”完成sensor添加。4.3.5 备份添加Sensor的系统在ISM中添加sensor后因为有共享密钥和sensor的信息，再作一次Ghost备份系统，系统备份文件命名为“sensorsys”。在以后的维护过程中，若ISM系统出现故障，则在系统恢复中优先使用“sensorsys”系统文件，其次为“ISMLicensesys”,前2个系统恢复均失败最后才使用“clearsys”。4.4 配置ISM双机热备按照上述章节再次安装