【精编】华为NIPeudemon防火墙联动配置手册.pdf

《【精编】华为NIPeudemon防火墙联动配置手册.pdf》由会员分享，可在线阅读，更多相关《【精编】华为NIPeudemon防火墙联动配置手册.pdf（29页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.目录1 概述.错误!未定义书签。1.1 NIP 系统介绍 .错误!未定义书签。1.1.2 引擎 .错误!未定义书签。1.1.3 控制台 .错误!未定义书签。1.2 NIP 安装流程 .错误!未定义书签。2 部署和规划 NIP 系统.错误!未定义书签。2.1 了解组网需求.错误!未定义书签。2.2 规划网络拓扑.错误!未定义书签。2.3 整理需要配置的信息.错误!未定义书签。2.4 NIP 系统部署举例.错误!未定义书签。3 安装引擎.错误!未定义书签。3.1 安装准备.错误!未定义书签。3.1.1 备齐技术文件.错误!未定义书签。

2、3.1.2 检查安装环境.错误!未定义书签。3.1.3 检查工具、仪表.错误!未定义书签。3.1.4 开箱验货 .错误!未定义书签。3.1.5 了解安装流程.错误!未定义书签。3.2 安装开始.错误!未定义书签。3.2.1 了解安全注意事项.错误!未定义书签。3.2.2 安装引擎到机柜.错误!未定义书签。3.2.3 安装引擎到工作台.错误!未定义书签。3.2.4 连接电源线.错误!未定义书签。3.2.5 连接设备到配置终端.错误!未定义书签。3.2.6 连接设备到以太网.错误!未定义书签。3.3 安装检查.错误!未定义书签。3.4 初始配置引擎.错误!未定义书签。3.4.1 搭建配置环境.错误

3、!未定义书签。3.4.2 设备上电 .错误!未定义书签。3.4.3 登录命令行接口.错误!未定义书签。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.3.4.4 确认需要配置的参数.错误!未定义书签。3.4.5 配置步骤 .错误!未定义书签。4 安装控制台.错误!未定义书签。4.1 安装准备.错误!未定义书签。4.2 开始安装.错误!未定义书签。4.3 安装后检查.错误!未定义书签。5 建立引擎和控制台之间的通讯.错误!未定义书签。5.1 登录控制台.错误!未定义书签。5.1.1 通过开始菜单程序组运行并登录控制台.错误!未定义书签。5.1.2 通过双击桌面快捷方式运行并登录控

4、制台.错误!未定义书签。5.2 添加引擎.错误!未定义书签。5.3 查询引擎状态.错误!未定义书签。6 FAQ 及常见故障处理.错误!未定义书签。6.1 FAQ.错误!未定义书签。6.2 常见故障处理.错误!未定义书签。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.插图目录图 1-1 NIP 网络智能入侵检测系统典部署.错误!未定义书签。图 1-2 NIP1000 外观图 .错误!未定义书签。图 1-3 NIP1000 后面板接口 .错误!未定义书签。图 1-4 NIP200 外观图 .错误!未定义书签。图 1-5 NIP200 后面板接口 .错误!未定义书签。图 1-6 N

5、IP100 外观图 .错误!未定义书签。图 1-7 NIP100 后面板接口 .错误!未定义书签。图 1-8 NIP 系统安装流程.错误!未定义书签。图 2-1 添加监听网卡.错误!未定义书签。图 2-2 安全区域典型配置举例组网图.错误!未定义书签。图 3-1 NIP 引擎安装流程.错误!未定义书签。图 3-2 配置串口电缆示意图.错误!未定义书签。图 3-3 以太网电缆示意图.错误!未定义书签。图 3-4 通过 Console 口进行本地配置.错误!未定义书签。图 3-5 新建连接 .错误!未定义书签。图 3-6 本地配置连接端口设置.错误!未定义书签。图 3-7 串口参数设置.错误!未定

6、义书签。图 3-8 终端类型设置.错误!未定义书签。图 3-9 NIP 系统命令行主菜单.错误!未定义书签。图 4-1 安装光盘自动运行.错误!未定义书签。图 4-2 安装控制台-欢迎窗口 .错误!未定义书签。图 4-3 安装控制台-许可协议 .错误!未定义书签。图 4-4 安装控制台-注册信息 .错误!未定义书签。图 4-5 安装控制台-选择安装目录.错误!未定义书签。图 4-6 安装控制台-选择安装目录.错误!未定义书签。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.图 4-7 安装控制台安装证书.错误!未定义书签。图 4-8 安装控制台选择证书文件.错误!未定义书签。图

7、 4-9 安装控制台-确认证书 .错误!未定义书签。图 4-10 安装控制台-管理程序组 .错误!未定义书签。图 4-11 安装控制台-开始安装 .错误!未定义书签。图 4-12 安装控制台-复制文件 .错误!未定义书签。图 4-13 安装控制台-设置日志目录.错误!未定义书签。图 4-14 安装控制台-选择日志目录.错误!未定义书签。图 5-1 登录对话框 .错误!未定义书签。图 5-2 管理员帐户对话框.错误!未定义书签。图 5-3 NIP 控制台主窗口.错误!未定义书签。图 5-4 客户资产管理引擎.错误!未定义书签。图 5-5 客户资产管理添加引擎.错误!未定义书签。图 5-6 添加策

8、略1.错误!未定义书签。图 5-7 添加策略2.错误!未定义书签。图 5-8 添加引擎 .错误!未定义书签。图 5-9 实时监视引擎状态.错误!未定义书签。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.表格目录表 1-1 NIP1000 配置串口属性.错误!未定义书签。表 1-2 NIP1000 网络接口属性.错误!未定义书签。表 1-3 NIP1000 系统配置及物理参数.错误!未定义书签。表 1-4 NIP200 配置串口属性.错误!未定义书签。表 1-5 NIP200 网络接口属性.错误!未定义书签。表 1-6 NIP200 系统配置及物理参数表.错误!未定义书签。表

9、1-7 NIP100 配置串口属性.错误!未定义书签。表 1-8 网络接口属性.错误!未定义书签。表 1-9 NIP100 系统配置及物理参数表.错误!未定义书签。表 3-1 硬件安装相关技术文件.错误!未定义书签。表 3-2 安装环境检查表.错误!未定义书签。表 3-3 工具及仪表清单表.错误!未定义书签。表 3-4 NIP1000 网络智能入侵检测系统及附件.错误!未定义书签。表 4-1 控制台硬件需求.错误!未定义书签。表 5-1 管理员帐户参数及详细描述.错误!未定义书签。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.1 概述1.1 目的本文中将说明NIP 如何实现与

10、Eudemon 防火墙联动。NIP 通过 TCP 端口连接到Eudemon 防火墙，通过口令认证后在防火墙上根据配置的联动策略动态生成防火墙阻断策略。1.2 内容包括如何配置NIP 与 Eudemon 防火墙实现联动，并查看结果。1.3 其它在联动之前要确认：文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.NIP 引擎的管理口与Eudemon 防火墙 IP 可达；了解 Eudemon 防火墙的管理员账户和口令。2 与 EUDEMON联动配置2.1 策略编辑步骤 1：打开策略编辑器：选择菜单“策略”“NIP”“策略”，打开“NIP 策略编辑器”；步骤 2：选择工具栏中的“响应”按

11、钮，打开响应对象窗口；步骤 3：选择 Eudemon 防火墙，进行编辑；要配置 Eudemon 防火墙和NIP 联动，应在 响应 窗口中选择Eudemon 防火墙进行编辑，打开窗口如图所示。Eudemon防火墙响应窗口在窗口下部列表框中，选择Eudemon 防火墙，在 响应对象 对话框中显示Eudemon 防火墙，单击 按钮，打开 对象属性 对话框，如图所示。步骤 1 响应对象对话框输入防火墙IP 地址、联动通讯的端口以及认证数据（这些数据需要在防火墙中事先配好），单击 按钮，保存编辑，如图所示。Eudemon防火墙响应属性窗口配置好响应对象后，在响应方式对话框，选择需要的阻断方式打开，比如选

12、择双向阻断，如图所示。步骤 2 响应方式属性对话框具体参数说明如下：源子网掩码：事件源IP 的掩码。目的子网掩码：事件目的IP 的掩码。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.源端口：事件的源IP 的端口号，选项为所有端口和特定端口，默认为所有端口。目的端口：事件的目的IP 的端口号，选项为所有端口和特定端口，默认为所有端口。阻断时间：防火墙阻断数据包的时间，默认360 秒。步骤 4 编辑检测策略在左侧事件列表中选择要编辑检测策略的事件，默认为“全部”；点击的检测策略列表下方的“添加”按钮，打开策略属性对话框，添加新的检测策略；点击响应右侧的按钮，打开响应对象列表窗口选

13、择上面定义好的“Eudemon 防火墙”；保存编辑的策略并下发到引擎。2.2 Eudemon 防火墙配置参照“附件：IDS 联动防火墙配置”2.3 攻击测试步骤 1：攻击测试攻击采用“ping 超长请求”攻击：步骤 2：查看报警事件步骤 3：在防火墙上查看结果：根据联动策略验证是否成功阻断。若出现没有成功阻断的现象，可以通过查看防火墙生成的黑名单以及抓一下NIP 管理口发出的到防火墙IP 的数据包来判断问题所在。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.3 安装引擎关于本章本章描述内容如下表所示。标题内容错误!未找到引用源。错误!未找到引用源。安装前的技术，环境，工具，流

14、程的准备。错误!未找到引用源。错误!未找到引用源。安装前的注意事项以及整个安装过程。错误!未找到引用源。错误!未找到引用源。安装后的检查。错误!未找到引用源。错误!未找到引用源。安装后的配置。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.3.1 安装准备3.1.1 备齐技术文件硬件安装相关的技术文件如错误!未找到引用源。所示。表3-1 硬件安装相关技术文件文件类别文件名称说明工程安装指导文件网络规划书、机房平面布置图、施工详图、电缆走线图应由用户方委托的设计单位完成，并于供货前由用户向供货商提供文件副本。现场勘测报告供货方勘测工程师进行现场勘测时填写。工程设计文件由华为公司工

15、程设计部根据各个局点的设备配置情况制定，并随设备一起发到现场。产品手册NIP 网络智能入侵检测系统安装手册供货方在供货时以光盘形式向用户提供。其他工程相关文件合同协议书供货方在供货时向用户提供。发货清单3.1.2 检查安装环境工程督导到达工程现场后应进行施工条件检查，根据实际情况填写安装环境检查表，确认各项条件具备后与客户共同签订开工协议书，并制定工程安装规划。若客户的工程准备不具备开工条件，要填写现场工作联络单向客户说明不能开工的原因，如果客户坚持要求开工，要让客户承诺预计完成准备工作的时间并签字。对无法整改和整改达不到要求的工程须签备忘录。表3-2 安装环境检查表编号项目检查要求1 选址通

16、信机房选址不宜在温度高、有灰尘、有害气体、易燃、易爆、易受电磁干扰（大型雷达站、发射电台、变电站）及电压不稳的环境中；应避开经常有大震动或强噪声的地方。因此，在进行工程设计时，应根据通信网络规划和通信设备的技术要求，综合考虑水文、地质、地震、电力、交通等因素，选择符合通信设备工程环境设计要求的地址。2 空调在当地最热月机房气温超过35，应安装空调（可支持断电重启功能）。空调安装位置应避免空调出风直接吹向设备。3 防潮对于相对湿度大于70，需加装除湿设备（如带除湿功能空文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.编号项目检查要求调、专用除湿机）等。机房严禁出现渗水、滴漏、结露

17、现象。4 采暖累年日平均气温低于5大于或等于90 天应设置采暖设备，对大于或等于60 天但小于90 天建议设置采暖设备。5 防尘对于位于沙尘源附近（煤矿、乡村公路、农田）的机房，窗户应采用双层铝合金门窗密封，机房门应采用防盗防火门。安装设备处应与机房门分隔，利用挡板效应截留部分粉尘。6 防止雷击机房应有避雷针、避雷带等防止击雷装置，其防雷接地（避雷针等装置的接地）应与机房的保护接地共用一组接地体。7 接地电阻机房采用联合接地（产品的工作地、保护地和防雷地合用同一个接地体），机房内各种通信设备、通信电源应尽量合用同一个保护接地排，容量小于1 万线大于2 千线时地阻小于3，容量小于2 千线时小于5

18、。8 接地引入线机房接地排到机房地网应可靠连接。可采用404mm 以上镀锌扁钢；或者截面积95mm2以上的线缆，其长度不应超过30m。扁钢和线缆都应进行绝缘防腐处理，出土部分有机械损伤保护，中间不能有断点接续。9 交流电压机房交流电压应在170V250V（220V）或 88V132V（110V）之间，交流配电开关和交流电源线安装到位。10 交流接地机房电源线的中性线严禁在机房内与各种通信设备的保护地连接。11 交流防雷机房交流电源系统应安装标称放电电流不小于20kA 的防雷单元，且应可靠接地。12 直流电压机房提供的直流电压满足-40V-57V（-48V）或者 19V29V（24V），蓄电池容

19、量满足设备供电要求，-48V（24V）电源线布放到华为高阻柜或直流分线盒旁。13 直流接地机房直流配电柜中工作地应与机房保护地直接相连，其线缆截面积应不小于95mm2。同时，根据现场情况，确认其它特殊的需求，如：设备安装前，需要确认是否需要向设备安装场所的物业管理部门提供安装公司的资质证明；运输前，需要确认机柜尺寸是否满足货物运输通道的要求（例如电梯、楼道等）；需要提前确认送货时间和安装工作时间（例如早8 点晚 6 点）等。3.1.3 检查工具、仪表设备安装前需准备的工具仪表如错误!未找到引用源。所示。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.表3-3 工具及仪表清单表通

20、用工具十字螺丝批P1-100MM、电批头型号可选D76-2X5X60、套筒-M6、一字螺丝批4-75mm、镊子专用工具地阻测量仪、防静电手腕、防静电手套、剥线钳、压线钳、水晶头压线钳、光纤连接器、打线刀仪表万用表、500 伏兆欧表（测绝缘电阻用）、2M 通路误码仪、光功率计工具仪表由供货方提供清单，并与用户协商确定工具提供人。仪表必须经过计量校验，证明合格后方能使用。3.1.4 开箱验货开箱要求工程督导应与客户人员共同点验货物。首先按各包装箱上所附的装箱单号查点总件数是否相符，运达地点是否与实际安装地点相符，包装箱外观是否完好。如果出现外包装严重损坏、外包装箱浸水、或设备出现锈蚀或浸水，则应停

21、止开箱，查明原因，向当地办事处反馈。为保护设备和查明原因，应将已拆包装箱的设备转室内妥善存放，对设备存放现场环境、已有生锈或腐蚀情况的设备、包装箱、包装材料进行拍照并存档，并将已拆包装箱以及包装材料妥善保存。如货物完好即可开箱验货，打开贴有“内置装箱单”指示标签的箱子，取出装箱单，然后根据装箱单逐项检查，如出现错货、缺货，请填写货物差错反馈表反馈，在开箱过程中，如发现货物有损坏现象，填写货物更换申请表反馈，最后与客户共同签字确认装箱单。在运输和搬放产品、零件或部件时，避免与门、墙、货架等物体碰撞。在运输、搬运和安装过程中严格禁止戴汗透或脏污的手套接触零件或部件的未喷漆的金属表面。开箱方法开箱过

22、程中注意：当设备从一个温度较低、较干燥的地方拿到温度较高、较潮湿的地方时，至少必须等30 分钟以后再拆封。否则，会导致潮气凝聚在设备表面，损坏设备。开箱方法如下：步骤 1查看纸箱标签，了解箱内设备类型、数量。步骤 2用斜口钳剪断打包带。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.步骤 3用裁纸刀沿箱盖盒缝处划开胶带，在用刀时注意不要插入过深，避免划伤内部物品。步骤 4打开纸箱，取出泡沫板。步骤 5浏览单板盒标签，查看数量是否与纸箱标签上注明数量相符，然后取出单板盒。步骤 6对照装箱单，对箱内单板类型、数量进行清点，当面签收。-结束装箱清单一台基本配置的NIP 引擎，应包含的

23、项目如错误!未找到引用源。所示：表3-4 NIP1000 网络智能入侵检测系统及附件项目名称数量说明1 NIP 引擎主机1 台无2 光盘1 套控制台安装程序、用户资料3 电源线2 根无4 以太网线3 根直通网线2 根、交叉网线1 根5 光纤电缆2 根多模 SC 接口6 配置串口电缆1 根无7 安装结构件1 套无3.1.5 了解安装流程图3-1 NIP 引擎安装流程开始安装NIP 引擎前，请确认：已经仔细阅读第1 章内容且第1 章中所述要求已经满足。3.2 安装开始3.2.1 了解安全注意事项在 NIP 引擎安装和使用过程中，特提出如下安全建议：将 NIP 引擎放置在远离潮湿或者远离热源的地方确

24、认 NIP 引擎正确可靠接地。在安装维护过程中佩戴防静电手腕，并确保防静电手腕与皮肤良好接触。不要带电插拔电缆。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.正确连接NIP 引擎的接口电缆。注意激光使用安全。不要用眼睛直视激光器的光发射口或与其相连的光纤连接器。建议用户使用UPS（Uninterrupted Power Supply）。3.2.2 安装引擎到机柜下面的描述以NIP1000 为例，其他引擎的安装和NIP1000 的安装相同。NIP1000 的尺寸为（宽 深 高）。安装步骤如下：步骤 1在 NIP 机盒的左、右两侧各安装一个安装弯角，每个安装弯角上有2 个腰形孔。

25、步骤 2检查机柜的接地与稳定性，确认机柜内部和周围没有影响设备安装的障碍物。步骤 3将 NIP 机盒从机柜正面放到机柜中相应的滑道上。步骤 4将 NIP 机盒轻轻推进机柜中，使机盒的安装弯角与机柜的方孔条接触；步骤 5调整机盒的左右位置使机盒位于机柜中部，此时机盒两侧安装弯角上的2 个腰形孔应该与装在机柜方孔条上的浮动螺母对齐。步骤 6然后拧入4 个 M6 12 的皇冠螺钉。-结束在拧紧螺钉的过程中，先轻力拧上，然后再按对角线的顺序将螺钉拧紧。3.2.3 安装引擎到工作台把 NIP1000 放置在工作台上时，需要注意：保证工作台的平稳性与良好接地。设备四周留出10cm 的散热空间。不要在设备上

26、放置重物。注意设备周围环境的防尘。3.2.4 连接电源线步骤 1确认保护地已经良好接地。步骤 2确认 NIP1000 的电源开关置于OFF 位置。步骤 3将 NIP1000 随机所带的电源线一端插到NIP1000 机箱后面板上的电源插座上。步骤 4将电源线的另一端插到交流电源插座上。步骤 5把 NIP1000 电源开关拨到ON 位置。步骤 6检查 NIP1000 前面板电源灯是否点亮，灯常亮则表示电源连接正确。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.-结束3.2.5 连接设备到配置终端NIP1000 提供了一个EIA/TIA-232 异步串行配置口（Console），通

27、过这个接口用户可完成对 NIP1000 的配置。配置串口的属性请参见“错误!未找到引用源。错误!未找到引用源。”。配置串口电缆配置串口电缆是一根8 芯屏蔽电缆，一端压接RJ-45 插头，插入NIP1000 的 Console 口；另一端则同时带有一个DB-9（孔）和一个DB-25（孔）连接器，可根据实际情况选择其中之一插入配置终端的串口。配置串口电缆如错误!未找到引用源。图3-2 配置串口电缆示意图配置串口电缆连接关系请参见“附录B B.1 配置口电缆”。连接配置串口电缆步骤 1关闭 NIP1000、配置终端的电源；步骤 2通过配置电缆连接配置终端的RS-232 串口与 NIP1000 的配置

28、串口。配置终端可以是标准的具有RS-232 串口的字符终端，也可以是一台普通的PC 机，常用的是后者。-结束3.2.6 连接设备到以太网以太网电缆10/100BASE-TX 以太网口一般采用5 类双绞线连接以太网，以太网电缆如错误!未找到引用源。所示：图3-3 以太网电缆示意图因使用情况不同又可将以太网电缆分为直通网线（straight through cable）和交叉网线（crossover cable）两种，介绍如下：直通网线用于终端设备和网络之间通讯连接，通过网络连接维护终端或网管工作站时，使用直通网线。交叉网线用于两个终端之间直接通讯，通过维护网口直接连接维护终端时，使用交叉网线。N

29、IP1000 提供直通、交叉网线各一根。两种网线的连接关系及识别和制作方法请参见“附录 B B.2 网线”。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.用户制作网线时，请优先采用屏蔽电缆，以保证电磁兼容的需要。连接以太网电缆以连接 admin 口为例。步骤 1选择以太网线NIP1000 连接 PC，使用交叉网线；NIP1000 连接 HUB 或 LAN Switch，使用直通网线。步骤 2使用直通网线连接NIP1000 的 admin 接口和 HUB 或 LAN Switch 的网口。连接时请认准接口上的标识，以免误插入其它接口；连接 LAN Switch 时，应连接到标有

30、10/100M BASE-TX 的接口。3.3 安装检查在 NIP1000 安装过程中，加电前要进行安装检查，检查事项如下：请检查 NIP1000 周围是否留有足够的散热空间，机柜是否稳固。检查电源线所接电源与NIP1000 要求的电源是否一致。检查 NIP1000 与配置终端等其它设备的连接关系是否正确。设备安装检查完毕后再给设备通电，具体操作步骤请参见“错误!未找到引用源。错误!未找到引用源。”。设备通电后若出现故障请参见“错误!未找到引用源。错误!未找到引用源。”。NIP1000 安装完毕后的检查非常重要，因为NIP1000 安装是否牢固，接地是否良好，电源是否匹配将直接影响到NIP10

31、00 的正常使用。3.4 初始配置引擎3.4.1 搭建配置环境连接引擎到配置终端如错误!未找到引用源。所示，将配置串口电缆的一端与引擎的配置串口口相连，另一端与配置终端的串口相连，连接引擎到配置终端。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.图3-4 通过 Console 口进行本地配置设置配置终端的参数步骤 1打开配置终端，建立新的连接使用计算机进行配置，需要在计算机上运行终端仿真程序（如Windows3.1 的Terminal，Windows98/2000/XP/NT 的超级终端），建立新的连接。下面的操作以Winodows XP 操作系统为例。打开 开始/程序/附件

32、/通讯/超级终端，如 错误!未找到引用源。所示，键入新连接的名称，单击 按钮。图3-5 新建连接步骤 2选择连接端口在进行本地配置时，“连接时使用”一栏选择连接的串口（注意选择的串口应该与配置电缆实际连接的串口一致）。如 错误!未找到引用源。所示。然后单击按钮。图3-6 本地配置连接端口设置步骤 3设置串口参数在串口的属性对话框中设置波特率为38400，数据位为8，奇偶校验为无，停止位为1，流量控制为无，单击按钮，进入超级终端窗口。图3-7 串口参数设置步骤 4配置超级终端属性在超级终端中选择属性/设置一项，进入属性设置窗口，如错误!未找到引用源。所示，选择终端仿真类型为“VT100”或“自动

33、检测”，单击 按钮，返回超级终端窗口。-结束图3-8 终端类型设置3.4.2 设备上电上电前检查设备上电之前应进行如下检查：电源线和地线连接是否正确。供电电压与设备的要求是否一致。配置电缆连接是否正确，配置用微机或终端是否已经打开，并设置完毕。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.上电之前，要确认设备供电电源开关的位置，以便在发生事故时，能够及时切断供电电源。设备上电打开设备电源开关。上电后检查/操作设备上电后，要进行如下检查：设备前面板上的指示灯显示是否正常配置终端显示是否正常启动结束后用户键入回车，出现命令行提示符“login：”时即可进行配置了。3.4.3 登录

34、命令行接口设备上电后，配置终端上出现命令行提示图“login：”，输入用户名和密码后（系统默认用户名：admin，默认密码：admin。），即可登录配置页面。如错误!未找到引用源。图3-9 NIP 系统命令行主菜单3.4.4 确认需要配置的参数NIP 第一次需要配置的参数如下：引擎设备的IP 地址引擎设备的主机名称引擎设备的系统时间升级服务器的地址3.4.5 配置步骤配置 IP 地址在命令行界面上，依次选择主菜单/系统配置/网络配置/查看 IP 配置 菜单项，打开查看 IP 配置 界面，默认的配置是：IP 地址：子网掩码：网关：无选择 主菜单/系统配置/网络配置/编辑 IP 配置 菜单项，修改

35、IP 地址和子网掩码。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.配置主机名称选择 主菜单/系统配置/查看&编辑主机名 菜单项，查看或修改主机名称，主机名称根据引擎类型的确定。NIP1000：千兆NIP200：百兆高端NIP100：百兆低端配置系统时间选择 主菜单/系统配置/查看&编辑系统时间 菜单项，修改系统时间为当前时间。配置升级服务器地址选择 主菜单/引擎升级/设置/升级服务器地址菜单项，修改升级服务器的地址。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.4 安装控制台关于本章本章描述内容如下表所示。标题内容错误!未找到引用源。错误!未找到引用源。安

36、装控制台前的硬件，操作系统，光盘的准备等。错误!未找到引用源。错误!未找到引用源。控制台安装详细步骤。错误!未找到引用源。错误!未找到引用源。安装后的检查。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.本章介绍NIP 系统控制台的安装过程。4.1 安装准备NIP 系统控制台是用于配置网络智能入侵检测系统的功能和策略的用户界面程序，需安装在独立运行的计算机上。开始安装前需要确认下面的信息。硬件需求表4-1 控制台硬件需求项目要求CPU Intel P 500MHz 以上RAM 256MB 以上硬盘20GB 以上网卡10M/100M 显示分辨率不低于 1024768 操作系统需求

37、NIP 系统控制台支持的操作系统为：Windows 2000、Windows XP 和 Windows 2003。浏览器为IE 6.0 以上。安装光盘和 license 文件NIP 系统控制台安装光盘和License 文件。4.2 开始安装NIP 系统控制台安装过程如下：步骤 1将 NIP 系统控制台安装光盘放入光驱，安装光盘自动运行。图4-1 安装光盘自动运行步骤 2点击“安装管理控制台”按钮，开始安装。图4-2 安装控制台-欢迎窗口步骤 3在欢迎窗口中单击按钮，弹出同意协议窗口。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.图4-3 安装控制台-许可协议仔细阅读许可协议，

38、如果同意请单击按钮继续安装（单击按钮退出安装程序）。在注册信息窗口单击按钮继续安装。图4-4 安装控制台-注册信息步骤 4选择安装路径。控制台的默认安装目录是“”，如错误!未找到引用源。所示。图4-5 安装控制台-选择安装目录如果希望改变默认安装目录，单击按钮打开如 错误!未找到引用源。所示对话框，选择安装目录，在当前窗口单击按钮。然后在选择安装目录对话框中单击按钮继续安装。图4-6 安装控制台-选择安装目录步骤 5选择安装证书。在如错误!未找到引用源。所示的对话框中单击按钮，选择证书文件，如 错误!未找到引用源。所示。证书文件请从随机光盘的License 目录中获取。图4-7 安装控制台安装

39、证书图4-8 安装控制台选择证书文件选择完证书文件，在如错误!未找到引用源。所示的对话框中单击按钮。图4-9 安装控制台-确认证书步骤 6选择管理程序组，缺省为i3SAFE NIP，单击 按钮继续安装。图4-10 安装控制台-管理程序组步骤 7开始安装，单击按钮继续。图4-11 安装控制台-开始安装步骤 8复制文件。图4-12 安装控制台-复制文件步骤 9设置日志目录，默认的日志文件夹是“C:Program FilesHuawei i3SAFENIPLog”。如需改变默认目录，单击按钮，打开选择日志路径对话框，如错误!未找到引用源。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持

40、.图4-13 安装控制台-设置日志目录图4-14 安装控制台-选择日志目录步骤 10NIP 控制台安装完成，单击按钮结束安装过程。-结束4.3 安装后检查启动 NIP 系统的控制台，能出现登录窗口，则控制台已经正确安装，否则，控制台安装失败。启动方式参见“错误!未找到引用源。错误!未找到引用源。”。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.5 建立引擎和控制台之间的通讯关于本章本章描述内容如下表所示。标题内容错误!未找到引用源。错误!未找到引用源。描述怎样登陆控制台。错误!未找到引用源。错误!未找到引用源。在控制台上安装引擎的步骤。错误!未找到引用源。错误!未找到引用源。

41、查询引擎的步骤。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.本章介绍在引擎和控制台之间建立通讯关系的过程。5.1 登录控制台登录控制台之前，首先必须先运行NIP 系统控制台，运行NIP 系统控制台有两种方法：通过开始菜单程序组运行并登录控制台。通过双击桌面快捷方式运行并登录控制台。5.1.1 通过开始菜单程序组运行并登录控制台步骤 1选择 开始/程序/i3SAFE NIP/i3SAFE NIP，启动 NIP 系统控制台。步骤 2NIP 系统控制台初始化以后，显示如错误!未找到引用源。所示的 登录 对话框。-结束图5-1 登录对话框第一次登录NIP 系统控制台时，必须修改管理

42、员帐户名称和口令。缺省管理员帐户：administrator。缺省口令：huawei123。如果是第一次登录NIP 控制台，操作如下：步骤 1在登录 对话框中输入缺省管理员帐号“administrator”，口令“huawei123”。单击 按钮，显示如 错误!未找到引用源。的管理员帐户 对话框。图5-2 管理员帐户对话框步骤 2在错误!未找到引用源。中修改管理员帐户名称和口令。相应的参数说明如错误!未找到引用源。表5-1 管理员帐户参数及详细描述参数名称详细描述管理员类型管理员类型缺省为“Admin”，无须更改。名称管理员帐户名称。帐户名称包含英文和数字，长度为615字。口令管理员密码。密码

43、包含英文和数字，也可以使用特殊文字，区分大小字母及特殊文字，长度为615 字。口令确认重复输入密码以保证密码一致。步骤 3单击 按钮登录NIP 系统控制台。文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.-结束如果不是第一次登录，则直接输入管理员帐户和口令，单击按钮，登录到如错误!未找到引用源。所示的控制台主窗口。图5-3 NIP 控制台主窗口缺省打开的日志窗口无法关闭。5.1.2 通过双击桌面快捷方式运行并登录控制台双击桌面的i3SAFE NIP 快捷方式图标，启动 NIP 系统控制台。NIP 系统控制台初始化以后，显示如错误!未找到引用源。所示 登录 对话框。如果是第一次登

44、录，在登录 对话框中输入缺省管理员帐户“administrator”，口令“huawei123”。单击 按钮，出现 错误!未找到引用源。所示的 管理员帐户 对话框。在 管理员帐户 对话框中修改帐户名和口令。单击按钮，登录如错误!未找到引用源。的控制台界面。如果不是第一次登录，则直接输入管理员帐户和口令，单击按钮，登录到控制台主窗口。5.2 添加引擎首先，要确认NIP 引擎已经安装好，并保证其管理口与NIP 系统控制台之间的网络连通性。步骤 1在控制台界面中，选择资产/引擎 菜单项，启动 客户资产管理引擎窗口，如 错误!未找到引用源。所示：图5-4 客户资产管理引擎步骤 2在客户资产管理引擎窗口

45、中单击 按钮，打开 添加引擎 窗口，如错误!未找到引用源。所示：图5-5 客户资产管理添加引擎步骤 3输入如下信息：名称：输入 NIP 引擎的名称。类型：选择“NIP”。组：选择引擎组，在资产/引擎组 菜单项中定义。缺省有一个引擎组为IDS。IP/端口：输入 NIP 引擎的 IP 位址，默认端口是2002。策略：单击打开策略项属性窗口，如错误!未找到引用源。所示：文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.图5-6 添加策略 1 步骤 4如错误!未找到引用源。，选择需要添加的策略，单击按钮添加策略到引擎，如错误!未找到引用源。所示，单击 按钮增加策略。图5-7 添加策略 2

46、 步骤 5确认无误后，单击引擎状态复选框下面的按钮，增加引擎。增加后的引擎将出现在主窗口左侧的树型目录中。如错误!未找到引用源。所示。-结束图5-8 添加引擎5.3 查询引擎状态为了确认引擎和控制台之间的连接已经增加成功，可通过查询引擎的状态来验证。如果可以正确查询到引擎的状态，则表示通讯建立。如果无法查询到引擎的状态，则表示通讯没有正常建立。步骤 1选择 监控/实时监控 菜单项，打开实时监控 窗口；步骤 2在主窗口左侧的树型目录中选中需要实时监视的引擎，实时显示该引擎的运行状态，如错误!未找到引用源。所示。图5-9 实时监视引擎状态文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支

47、持.6 FAQ 及常见故障处理6.1 FAQ 疑问 1：如何进行NIP 系统的软件升级？NIP 系统的软件更新通过配置串口或控制台进行。具体请参见“NIP 网络智能入侵检测系统操作手册5.5 升级引擎”。疑问 2：如何查看入侵检测日志？入侵检测日志的查看通过NIP 系统的控制台中的日志操作进行。具体请见“NIP 网络智能入侵检测系统操作手册4.1 查看当前日志”。疑问 3：如何通过控制台更改网络配置？NIP 系统网络配置的更改通过控制台和配置串口进行。具体请参见“NIP 网络智能入侵检测系统操作手册 5.1 更改网络配置”。疑问 4：如何在控制台配置自定义策略？NIP 系统的自定义策略的配置通

48、过配置串口进行。具体请参见“NIP 网络智能入侵检测系统操作手册 6.1 配置自定义策略”。疑问 5：如何使用报警器？NIP 系统报警器的使用通过控制台进行。具体请参见“NIP 网络智能入侵检测系统操作手册8.3 使用报警器”。疑问 6：如何备份日志？NIP 系统日志的备份通过控制台进行。具体请参见“NIP 网络智能入侵检测系统操作手册4.3 备份日志”。6.2 常见故障处理序号故障现象处理措施1 引擎的电源指示灯按如下步骤依次确认：文档来源为:从网络收集整理.word 版本可编辑.欢迎下载支持.序号故障现象处理措施POWER 不亮引擎电源开关已经打开供电电源开关已经打开电源线连接正确、牢靠供

49、电电源与引擎所要求的电源匹配如仍无法排除，请联系供货商2 上电后，配置终端无显示按如下步骤依次确认：引擎正常（观察指示灯）配置串口（Console）电缆连接正确、牢靠终端（如超级终端）参数配置正确如无法排除，更换配置电缆如仍无法排除，请联系供货商3 上电后，配置终端显示乱码请确认终端（如超级终端）的参数设置：波特率为38400 数据位为8 奇偶校验为无停止位为1 流量控制为无终端仿真为VT100 或自动检测如参数设置与上述不符，请重新配置。4 控制台查询引擎状态为运行，控制台接收不到数据按如下步骤依次确认：监听端口网线是否连接正常控制台添加的引擎数与实际的引擎数是否一致如与上述不符，请重新配置。