Linux平臺Snort入侵檢測系統實戰指南(1

我們都知道，企業的網絡目前威脅主要來自兩個位置：一個是內部，一個是外部。來自外部的威脅都能被防火墻所阻止，但內部的攻擊都不好防范。因為公司內部人員對系統了解很深且有合法訪問權限，所以內部攻擊更容易成功。

IDS為信息提供保護，已經成為深度防御策略中的重要部分。IDS與現實世界里的防竊報警裝置類似，它們都對入侵進行監控，當發現可疑行為時，就向特定的當事人發出警報。IDS分為兩類：主機IDS(HIDS)和網絡IDS(NIDS)。HIDS安裝在受監控主機上，擁有對敏感文件的訪問特權。HIDS利用這一訪問特權對異常行為進行監控。NIDS存在于網絡中，通過捕獲發往其他主機的流量來保護大量網絡設施。

HIDS和NIDS都有各自的優點和缺點，完整的安全解決方案應包括這兩種IDS，對于這一點比較難做到。不了解這一領域的人常常認為IDS就像一把萬能鑰匙，能解決所有安全問題。例如有的單位花了大筆的錢購置了商業IDS由于配置不當反而搞得連連誤報，一下子就把數據庫塞滿了大量丟包進而崩潰。這種態度使人們以為只要將IDS隨便安放在網絡中就萬事大吉了，不必擔心任何問題，實際上遠非如此。沒有人會認為Email服務器直接連在Internet上就能正確運作。同樣，你也需要正確的計劃IDS策略，傳感器的放置。下文以開源軟件Snort的安裝與維護為例，介紹正確地安裝和維護IDS的思路和方法。

安裝Snort

1、安裝準備工作

我們在安裝前我們要知道我們需要監控的內容，理想的狀況是對一切進行監控。所有網絡設備和任何從外部到企業的連接都處在Snort的監視之下。盡管這一計劃對小公司只有幾十臺機器是很可能實現的，但是當大型企業中連接上天臺網絡設備時，這成了難以施展的艱巨任務。

為了加強snort檢測的安全性，最好能為監控網段提供獨立的智能交換機，如果你需要配置分布式的配置，可以吧服務器和控制臺接在一個交換機上，二其他傳感器放置在不同的物理位置，但這樣的成本會有所增加。Snort IDS的維護問題是無法回避的。你遲早要對Snort特征更新并編寫定制的規則，所以你還需要一個懂得維護IDS的專業人士。
如果有需要服務器的租用與托管的敬請聯系QQ：１５０１２８１７５８（億恩星辰）　　　聯系電話：０３７１—６３３２２２２０

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]