0前言

　　入侵檢測系統(Intrusion Detection Systems,IDS)工作在計算機網絡系統中的關鍵節點上，通過實時地收集．分析計算帆網絡和系統中的信息，來檢查是否出現違反安全策略的行為和遭到襲擊的跡象，進而達到防止攻擊、預防攻擊的目的。

　　網絡人侵柱瀏系統(Network Intrusion DetectionSystem，NIDS)作為主動保護自己免受攻擊的網絡安全技術．處于肪火墻之后，它就如同大樓內無處不在的閉路電視錄像監控系統，在不影響網絡性能的倍況下對網絡和系統進行實時監測。它采用旁路方式全面偵聽網上信息流，動態監視網絡上流過的有數據包。通過檢鍘和實時分析，及時甚至提前發現非法或異常行為，并進行響應。

　　網絡型入侵檢測系統能夠全天侯進行日志記錄和管理，進行離線分析．對特殊事件進行智能判斷和回故。可以有效地防止和減輕網絡威脅。幫助系統對付網絡攻擊．擴展了網絡管理員的安全管理能力(包括安全審計、監視、攻擊識別和響應)，提高了信息安全基礎結構的完整性。

　　宣鋼企業有自己的內網資源．并且已經在防火墻系統上投入了一定的資金．在Internet入口處部署了思科PIX525防火墻來保證網絡安全．但這樣的網絡組織往往是”外緊內松”．它無法阻止內部人員對同絡所做的攻擊。對信息流的控制也缺乏安全性。

　　入侵檢測系統是對防火墻有益的補充，如果說防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況并發出警告。因此，在宣鋼內部網絡的主要鏈路上我們應該部署一套IDS入侵檢測系統。

　　1 IDS在宣鋼網絡中的部署

　　根據宣鋼的網絡拓撲結構(見圖1)，我們將IDS掛接在宣鋼內部網絡所有所關注流量都必須流經的鏈路上，用來監控東區、西區以及辦公樓之間的網絡情況．同時對東區和辦公樓到Internet的網絡情況進行監控，可以實現全網80％流量的監控。(其中辦公摟與西區及外網進行數據交換時數據流要經過東區機房的主交換機)。

圖1 宣鋼網絡簡易拓撲圖

　　入侵檢測引擎部署在東區機房核心交換機機柜中，將Monitor(監控)端口連接到東區機房Cisco交換機4006的G4/1端口上，將通信端口連接到東區機房Cisco交換機4006的4/27端口上。其中東區機房Cisco交換機4006的G4/1端口(千兆光口)是該交換機的G1/1(東區到西區)和Gl/2(東區到辦公樓)的鏡像端口。控制臺選用一臺Dell poweredgel500sc服務器，IP地址為192.168.39.246，與該交換機的f4/28口相連。

　　在東區機房Cisco交換機4006上給G4/1配置鏡像的方法如下：

　　monitor session 2 source interface Gil/1—2
　　monitor session 2 destination interface Gi4/1