我们之前提到在边界处搭建信息安全体系,需要依赖防火墙,但是防火墙就像我们生活当中的一扇门,只是负责开和关我们不能够感知到是谁进来或者谁出去。比如说我们在制定防火墙策略的时候,我们制定的规则是人可以出去,dog不能进来。但是具体是什么样的人可以进来?什么样的人不能够进来?这个功能防火墙无法满足。入侵检测系统恰恰能够弥补防火墙的这个缺点。对数据包进行深度检测,同时可以利用特征库或者白名单管控网络,也可以通过杀毒引擎对进出的数据包进行病毒查杀。很多时候我们把IPS配置成为IDS模式,主要使用ID/PS来监控网络异常, 直接生成网络安全告警。采用这种模式的原因是因为我们很多时候对开箱即用的规则或者自己定义的规则不够信任,在业务对网络的依赖性越来越强的今天, 谁也承担不了基础架构的抽风。
商业化的入侵检测系统有很多,他们当中很多都是通过开源的入侵检测系统进化而来。我们还是那句话,系统有千千万万,但是防御的原理和规则是相同的。我们可以通过对开源的入侵检测系统进行深入学习,从而了解入侵检测系统的原理。
今天我给大家介绍的开源安全产品是大名鼎鼎的Snort,在1998年,Martin Roesch用C语言开发了开放源代码(Open Source)的入侵检测系统Snort。直至今天,Snort已发展成为一个具有多平台(Multi-Platform)、实时(Real-Time)流量分析、网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS。Snort符合通用公共许可(GPL——GNU General Pubic License),在网上可以通过免费下载获得Snort,并且只需要几分钟就可以安装并开始使用。
关于Snort这个平台的背景,相信很多从事信息安全的同学都了解。我们关键是要看
本文介绍了开源入侵检测系统Snort的功能,包括监控和报警、安全调查取证。Snort作为强大的NIDS/NIPS,用于网络流量分析和数据包记录。文章强调了定制规则的重要性,以及在配置Snort时应注意的事项,为读者提供了学习和应用Snort的指导。
最低0.47元/天 解锁文章
扫一扫
4939
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
