WEB开发网
开发学院网络安全安全技术 Solaris网络环境部署HIDS配置实战(上) 阅读

Solaris网络环境部署HIDS配置实战(上)

 2008-08-23 13:17:35 来源:WEB开发网   
核心提示: (2)Event Viewer,这是一个单独的Unix、linux平台下的图形化用户界面,Solaris网络环境部署HIDS配置实战(上)(4),用于查看从Agent中获取的各种事件数据,也就是报警的窗口,才可以去管理Manager A上已经注册的Agent;Event Viewer注册到

(2)Event Viewer。这是一个单独的Unix、linux平台下的图形化用户界面,用于查看从Agent中获取的各种事件数据,也就是报警的窗口。这是OSSEC比较独特的一点。一般来说入侵检测系统的管理配置与事件查看功能会结合在一起,用户在看到事件查看模块中的报警后,可以利用管理配置模块来进行策略的调配或者采取其他行动。OSSEC这种分开的做法是出于对管理员职责划分的考虑,在某些企业里可能会把安全管理员分为不同的级别,级别高的管理员可以做所有的事情,而级别低的管理员只允许进行日常的状态与安全情况的监护,但不能实际采取操作去处理问题,他必须向上汇报情况,由上级管理员来处理。这时一个只能显示报警而不能进行实际策略的更改的Event Viewer就比较合适了。如果不需要这么细的管理措施,也可以把Event Viewer与Administrator安装到一个管理工作台上,这样即可以显示报警,也可以配置策略。此外,Event Viewer还可以查询Manager的事件数据库,从而可以查看选定的刚刚发生的或已经发生的各种事件;向代理(Agent)发送各种OSSEC指令;生成并查看各种在线或历史报告。

(3) Manager。是一个运行在后台的应用软件,Manager没有图形化界面,其主要功能是维护与所有注册代理(Agent)的安全通讯;维护域的主列表和把相应的策略分发到每一个代理(Agent);把有关域和策略的变化通知给相应的代理(Agent);接收和存储来自于代理的事件数据;作为OSSEC Administrator、OSSEC Event Viewer和Agent之间通讯的桥梁,维护策略列表和所属域。

Manager是整个运行体系信息流的枢纽,它的应用使OSSEC可以适应大型网络的需要。Agent收集到的攻击与可疑信息会通过Manager向Event Viewer报告,Administrator和Viewer发出的命令与配置指令也会通过Manager下传到Agent上面。在配置时,Administrator、Evnet Viewer与Agent都需要首先到某一个Manager上注册,加入这个Manager所管理的域,才可以参与这个域的安全活动。简单说,就是Administrator注册到Manager A上后,才可以去管理Manager A上已经注册的Agent;Event Viewer注册到Manager A之后才能接受并显示它负责的Agent上报的信息;新的Agent注册到Manager A之后,才可以接受相关的Administrator的策略配置,并把安全报警在相应的Event Viewer上显示。

上一页  1 2 3 4 5  下一页

Tags:Solaris 网络 环境

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接