Martin Asked: 2019-06-11 01:47:47 +0800 CST2019-06-11 01:47:47 +0800 CST 2019-06-11 01:47:47 +0800 CST 入侵检测系统 (IDS) 在有防火墙的 Web 服务器上有意义吗? 772 我在具有状态防火墙的服务器上运行 Apache,其中仅允许 TCP 端口 80 和 443 的新 IPv4/IPv6 入口连接。SSH 仅允许来自少数受信任的主机,并且仅允许某些 ICMP/ICMPv6 消息和 UDP 目标端口 33434 - 33534( UDP 模式下的 traceroute)在任何地方都允许。传出流量没有防火墙。在服务器上的这种环境中是否有运行 IDS(例如 Snort)的点?如果是,那么它会减轻什么或提供什么额外的可见性? security iptables 1 个回答 Voted Best Answer Mylo Mylo 2019-06-11T02:28:04+08:002019-06-11T02:28:04+08:00 这取决于。 如果您的可访问 Web 端口托管的应用程序已被 pwned 并具有权限提升漏洞。你不会知道的。您的防火墙完成了它的工作,但您的系统(和网络)已被加密。 如果您的防火墙在系统重新启动时没有重新启动,那么某种 IDS 的安全网可能会提醒您一些行为不端。 如果您不知道存在什么 0-day,那么您可能永远不知道它们何时在您的系统上使用而没有可见性。 如果这是您的爱好博客,则没有必要。如果它是您的 DMZ 和企业网络的入口点 - 可能会更有用一些。
这取决于。
如果您的可访问 Web 端口托管的应用程序已被 pwned 并具有权限提升漏洞。你不会知道的。您的防火墙完成了它的工作,但您的系统(和网络)已被加密。
如果您的防火墙在系统重新启动时没有重新启动,那么某种 IDS 的安全网可能会提醒您一些行为不端。
如果您不知道存在什么 0-day,那么您可能永远不知道它们何时在您的系统上使用而没有可见性。
如果这是您的爱好博客,则没有必要。如果它是您的 DMZ 和企业网络的入口点 - 可能会更有用一些。