入侵检测系统 (IDS) 在受防火墙保护的 Web 服务器上是否有意义?

入侵检测系统 (IDS) 在受防火墙保护的 Web 服务器上是否有意义?

我在具有状态防火墙的服务器上运行 Apache,其中仅允许 TCP 端口 80 和 443 建立新的 IPv4/IPv6 入口连接。仅允许少数受信任主机以及某些 ICMP/ICMPv6 消息和 UDP 目标端口 33434 - 33534( UDP 模式下的traceroute)在任何地方都被允许。传出流量未受防火墙保护。在服务器上这样的环境中运行IDS(例如Snort)有什么意义吗?如果是,那么它会减轻什么影响或者提供什么额外的可见性?

答案1

这取决于。

如果您的可访问 Web 端口托管的应用程序已被破解并具有权限升级漏洞。你不会知道。你的防火墙完成了它的工作,但你的系统(和网络)被攻击了。

如果您的防火墙没有在系统重新启动时重新启动,某种 IDS 的安全网可能会提醒您某些行为不当。

如果您不知道什么是 0day 存在,您可能永远不知道它们何时在您的系统上使用而不可见。

如果这是您的爱好博客,则没有必要。如果它是您的 DMZ 和公司网络的入口点 - 也许更有用一些。

相关内容