%20%E5%9C%A8%E5%8F%97%E9%98%B2%E7%81%AB%E5%A2%99%E4%BF%9D%E6%8A%A4%E7%9A%84%20Web%20%E6%9C%8D%E5%8A%A1%E5%99%A8%E4%B8%8A%E6%98%AF%E5%90%A6%E6%9C%89%E6%84%8F%E4%B9%89%EF%BC%9F.png)
我在具有状态防火墙的服务器上运行 Apache,其中仅允许 TCP 端口 80 和 443 建立新的 IPv4/IPv6 入口连接。仅允许少数受信任主机以及某些 ICMP/ICMPv6 消息和 UDP 目标端口 33434 - 33534( UDP 模式下的traceroute)在任何地方都被允许。传出流量未受防火墙保护。在服务器上这样的环境中运行IDS(例如Snort)有什么意义吗?如果是,那么它会减轻什么影响或者提供什么额外的可见性?
答案1
这取决于。
如果您的可访问 Web 端口托管的应用程序已被破解并具有权限升级漏洞。你不会知道。你的防火墙完成了它的工作,但你的系统(和网络)被攻击了。
如果您的防火墙没有在系统重新启动时重新启动,某种 IDS 的安全网可能会提醒您某些行为不当。
如果您不知道什么是 0day 存在,您可能永远不知道它们何时在您的系统上使用而不可见。
如果这是您的爱好博客,则没有必要。如果它是您的 DMZ 和公司网络的入口点 - 也许更有用一些。