对于 IDS,我计划在禁用大多数角色的网关上运行 Win 2008 服务器。我计划为 Internet 连接设置防火墙,但我还想安装 Snort 以作为 IDS 工作。但是,我猜测无论 Snort 是否安装了混杂的 Winpcap 驱动程序,我都无法监控防火墙阻止的端口。我的想法是流程链是:
Internet->Win 2008 上的防火墙->Winpcap->Snort->内部网络
有没有办法仍然监视防火墙将阻止的服务(即 TCP 445 SMB)?也许通过 Snort 运行数据,然后通过防火墙?
谢谢
通常,您将 IDS 保留在防火墙内部,以将 Internet 的常见“噪音”排除在 IDS 日志之外。没有必要为每个防火墙阻止的正常端口扫描发出警报。您希望通过 IDS(和/或通过 IPS 阻止)看到的所有有趣的东西都可以通过您的防火墙。
{ Internet }---[ WAN Router ]---[ IDS/IPS ]---[ Firewall ]---{ internal network }但是,我在这里看到了使用 Windows 的一些缺点。你想使用 2k8 许可证只是为了过滤和转发一些流量,我说得对吗?听起来很贵。而且有些不安全。如果您没有 Unix 经验,可以使用带有漂亮 web-GUI 的预打包 Linux/BSD 发行版。
看看pfSense,它是一个非常好的防火墙。这里有一篇文章,描述了Snort 集成。例如,您可以使用 VMWare 对其进行测试。
HTH,
佩拉
对于防火墙,我发现您选择的 Server 2008 相当奇怪。为什么不使用更合适、更具成本效益的东西呢?有许多基于 Linux 的防火墙发行版,包括操作系统和商业版本。我个人偏爱Smoothwall,其中包括 Snort 等。如果您添加 Guardian 插件,那么它也会响应 Snort 警报,使其比仅仅拥有一堆静态规则更有效。
您可以监控您喜欢的任何端口,无论它们是否被阻止。当然,您可能实际上看不到阻塞端口上的任何流量,但可以肯定的是,您仍然可以监控它。
取决于您选择的防火墙——我假设您将使用“真正的”防火墙引擎,而不仅仅是 Windows 非常有限的内置功能?我见过的所有防火墙都会愉快地记录所有连接尝试,但正如 PEra 所写,很少有人这样做,因为日志变得非常快。
Kerio 有一个不错的小型企业防火墙,内置了良好的报告功能。我真的不知道现在剩下的任何其他“安装在 Windows 之上的防火墙”——几年前这是一个常见的模型,但今天防火墙已经转移到了设备上,而且它似乎接下来会转移到路由器中.