linux – 基于Snort的防火墙
发布时间:2020-12-14 02:51:17 所属栏目:Linux 来源:网络整理
导读:我没有和SNORT合作过多,或者对此做了太多研究,但听起来有可能. 如果我设置一个服务器并在其上运行snort.那么可以将我的所有流量通过它像防火墙一样路由到我的网站吗?这会让我有一个中心点来过滤掉所有不良流量吗? 至于转发,我应该使用GRE隧道还是有更好的
|
我没有和SNORT合作过多,或者对此做了太多研究,但听起来有可能.
如果我设置一个服务器并在其上运行snort.那么可以将我的所有流量通过它像防火墙一样路由到我的网站吗?这会让我有一个中心点来过滤掉所有不良流量吗? 至于转发,我应该使用GRE隧道还是有更好的方法?如果可能的话,我想尝试保留客户端的IP. 因此,我可以运行HA Proxy / nGinx作为一种方式来转发网站流量并将客户端IP保留在数据包中,而不是最终将每个客户端作为代理服务器的IP. 解决方法
Snort的一种安装方法称为串联模式.在这种配置中,您的snort传感器将成为流量的阻塞点,就像传统的路由器或防火墙一样.所有数据包将在外部接口上接收,通过snort应用程序传递,然后转发到内部接口.如果正确完成,它将对流量透明,并且只不过是一座桥梁.它也不需要修改您试图保护的服务器.所有流量都将流经传感器,因为它无法进入其他任何地方.
从这里您可以决定是以IDS还是IDP模式运行snort. IDS实施起来不那么可怕,因为会触发警报并记录错误的流量,但仍然会传递数据包. IDP模式将分析数据包,如果配置,则会在数据包触发警报时丢弃数据包. 在任何情况下,您都必须小心配置哪些规则,并确保传感器尺寸合适.例如,如果snortd进程过载并且无法处理数据包,则不会将其从另一端传出. snort达到100%的CPU使用率或内存是非常微不足道的. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |