78、网络安全系统配置与管理全解析

网络安全系统配置与管理全解析

在网络安全领域，有效检测和应对入侵活动至关重要。下面将详细介绍签名配置、IDS 事件查看器的使用，以及企业级 Cisco 安全 IDS 管理系统的相关内容。

签名与 IDS 事件查看器基础

签名是检测入侵活动的规则集合，而警报则是关于入侵活动的通知。Cisco Secure IDS 拥有强大的签名数据库，能够检测众多复杂攻击。签名引擎赋予系统对不同类型攻击的识别能力，还允许用户针对各种攻击调整和创建签名。每个签名都定义了本地参数和主参数，本地参数控制特定于所属签名引擎的签名标准，主参数则是所有签名通用的。用户可以使用 IDM 或传感器 CLI 来配置和创建签名。

Cisco IDS 事件查看器（IEV）为最多五个传感器的小型部署提供了警报管理解决方案。它安装在基于 Windows 的主机上，通过 RDEP 协议在 HTTP 或基于 SSL 的 HTTP 上定期轮询每个传感器的事件存储，以获取警报信息。

IEV 包含一个数据库，其中有多个作为数据源的物理表。数据源分为实时数据源（event_realtime_table）和存档数据源，前者包含近期警报并接收新警报，后者是历史警报表。用户还可以通过导入传感器捕获的 IP 日志文件中的警报信息来创建数据源。

IEV 通过视图显示数据源中的警报信息，视图决定了警报信息的呈现方式，还可包含过滤器以排除部分警报。每个视图会从数据源创建逻辑或虚拟表，其中包括汇总警报信息的警报聚合表。用户可以通过扩展详细信息对话框、钻取对话框和警报信息对话框表深入查看更具体的警报信息。此外，IEV 还提供实时仪表板，可实时查看新生成的警报。

用户还能基于特定视图和数据源生成