本文介绍了Snort作为网络入侵检测/防御系统的作用,以及其在应对内网攻击、防火墙局限等方面的解决方案。文章详细阐述了IDS(入侵检测系统)和IPS(主动防御系统)的区别,并讨论了HIDS和NIDS的特点。接着,文章重点讲解了Snort的工作模式、部署策略以及在Linux上的安装与配置过程,包括基本命令的使用。最后,文章提到了Snort与MySQL、PHP、Apache的集成,以实现数据的存储和监控界面的展示。
在现在越来越庞大的网络面前,我们的企业网络网络为了实现相对来说的安全都会在企业网与internet之间架设防火墙。但是在有些情况下,防火墙并不能发挥作用。
如上图所示:
企业内网与外网以及服务器所在的DMZ区域
(1)来至于企业内网用户的攻击
(2)内网用户绕过防火墙上网受到攻击,进而是攻击者攻击内网
(3)攻击者通过病毒、木马.....实施攻击
这时候就需要用一些策略来实施监控,让我们在网络出现异常时及时发现,并实施补救措施。早期的IDS(入侵检测系统)就是用来进行监控的,后来发展到IPS(主动防御系统)进一步的可以再进行监控的同时,如果发现异常可以进行一些动作来阻断某些攻击。
IDS分类:
HIDS:软件类的,基于主机( 例如Sessionwall和我们今天要讲的snort)
安装到得保护的主机上边,但是考虑到成本的话,我们并不能为每台主机安装这种软件,这就需要把总要的服务器优先安装。
检测内容:(比较细致)
应用层的服务、网络流量、日志、用户行为、重要文件是否被改动
NIDS:硬件类的,基于网络
连接交换机,接收来至于交换机的额数据,不过为了能接收到交换机下的多个主机,应该使用到端口镜像技术,这就需要每台交换机上都部署NIDS。不过如果网络过于庞大的话这种方案成本也比较高。
这就有了后来的RSPAN(远程的交换端口分析),就可以检测到其他交换机的数据信息了。
检测内容:(不够细致)
只能检测到网络7层结构的第四层,像是应用层的服务、病毒.....都检测不到
鉴于此,在实际网络应用中常常两种防御系统结合来使用,在重要的服务器上使用HIDS,而其他主机使用NIDS。
IDS工作原理:
如果是IPS的话,进一步的还会对攻击行为做出阻断动作
开放源代码(Open Source)的入侵检测系统Snort,到现在为止,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即
最低0.47元/天 解锁文章
扫一扫
3万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
