linux – 基于Snort的防火墙

前端之家收集整理的这篇文章主要介绍了linux – 基于Snort的防火墙前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我没有和SNORT合作过多,或者对此做了太多研究,但听起来有可能.

如果我设置一个服务器并在其上运行snort.那么可以将我的所有流量通过它像防火墙一样路由到我的网站吗?这会让我有一个中心点来过滤掉所有不良流量吗?

至于转发,我应该使用GRE隧道还是有更好的方法?如果可能的话,我想尝试保留客户端的IP.

因此,我可以运行HA Proxy / Nginx作为一种方式来转发网站流量并将客户端IP保留在数据包中,而不是最终将每个客户端作为代理服务器的IP.

解决方法

Snort的一种安装方法称为串联模式.在这种配置中,您的snort传感器将成为流量的阻塞点,就像传统的路由器或防火墙一样.所有数据包将在外部接口上接收,通过snort应用程序传递,然后转发到内部接口.如果正确完成,它将对流量透明,并且只不过是一座桥梁.它也不需要修改您试图保护的服务器.所有流量都将流经传感器,因为它无法进入其他任何地方.

从这里您可以决定是以IDS还是IDP模式运行snort. IDS实施起来不那么可怕,因为会触发警报并记录错误的流量,但仍然会传递数据包. IDP模式将分析数据包,如果配置,则会在数据包触发警报时丢弃数据包.

在任何情况下,您都必须小心配置哪些规则,并确保传感器尺寸合适.例如,如果snortd进程过载并且无法处理数据包,则不会将其从另一端传出. snort达到100%的cpu使用率或内存是非常微不足道的.

猜你在找的Linux相关文章