防火墙网关和 IDS

Question 1

通常，您将 IDS 放在防火墙内部，以防止互联网的常见“噪音”进入 IDS 日志。没有必要为防火墙阻止的正常端口扫描设置警报。您希望使用 IDS（和/或使用 IPS 阻止）看到的是所有有趣的东西通行证你的防火墙。

{ Internet }---[ WAN Router ]---[ IDS/IPS ]---[ Firewall ]---{ internal network }

但是，我发现使用 Windows 有一些缺点。我说得对，您确实想使用 2k8 许可证来过滤和转发一些流量吗？听起来很贵。而且有点不安全。如果您没有 Unix 经验，可以使用预打包的 Linux/BSD 发行版，其中包含不错的 Web GUI。

看一下普富思，这是一款非常棒的防火墙。这里有一篇文章，描述了Snort 集成。例如，您可以使用 VMWare 进行测试。

HTH，
PEra

Answer

通常，您将 IDS 放在防火墙内部，以防止互联网的常见“噪音”进入 IDS 日志。没有必要为防火墙阻止的正常端口扫描设置警报。您希望使用 IDS（和/或使用 IPS 阻止）看到的是所有有趣的东西通行证你的防火墙。

{ Internet }---[ WAN Router ]---[ IDS/IPS ]---[ Firewall ]---{ internal network }

但是，我发现使用 Windows 有一些缺点。我说得对，您确实想使用 2k8 许可证来过滤和转发一些流量吗？听起来很贵。而且有点不安全。如果您没有 Unix 经验，可以使用预打包的 Linux/BSD 发行版，其中包含不错的 Web GUI。

看一下普富思，这是一款非常棒的防火墙。这里有一篇文章，描述了Snort 集成。例如，您可以使用 VMWare 进行测试。

HTH，
PEra

Question 2

我觉得你选择 Server 2008 作为防火墙有点奇怪。为什么不使用更合适、更经济实惠的东西呢？有许多基于 Linux 的防火墙发行版，包括操作系统和商业版。我个人更喜欢光滑墙，其中包括 Snort 等。如果您添加 Guardian 插件，它还会响应 Snort 警报，这比仅仅拥有一堆静态规则要有效得多。

您可以监控任何端口，无论它们是否被阻止。当然，您可能实际上看不到被阻止端口上的任何流量，但当然，您仍然可以监控它。

Answer

我觉得你选择 Server 2008 作为防火墙有点奇怪。为什么不使用更合适、更经济实惠的东西呢？有许多基于 Linux 的防火墙发行版，包括操作系统和商业版。我个人更喜欢光滑墙，其中包括 Snort 等。如果您添加 Guardian 插件，它还会响应 Snort 警报，这比仅仅拥有一堆静态规则要有效得多。

您可以监控任何端口，无论它们是否被阻止。当然，您可能实际上看不到被阻止端口上的任何流量，但当然，您仍然可以监控它。

Question 3

有没有办法继续监控防火墙将阻止的服务（即 TCP 445 SMB）？

取决于您选择的防火墙——我假设您将使用“真正的”防火墙引擎，而不仅仅是 Windows 非常有限的内置功能？我见过的所有防火墙都会很乐意记录所有连接尝试，但正如 PEra 所写，很少有人这样做，因为日志很快就会变得非常大。

Kerio 有一款不错的小型企业防火墙内置了良好的报告功能。我真的不知道现在还剩下什么其他“安装在 Windows 上的防火墙”——几年前这是一种常见的模式，但如今防火墙已经转移到了设备上，而且似乎下一步要转移到路由器上。

Answer

有没有办法继续监控防火墙将阻止的服务（即 TCP 445 SMB）？

取决于您选择的防火墙——我假设您将使用“真正的”防火墙引擎，而不仅仅是 Windows 非常有限的内置功能？我见过的所有防火墙都会很乐意记录所有连接尝试，但正如 PEra 所写，很少有人这样做，因为日志很快就会变得非常大。

Kerio 有一款不错的小型企业防火墙内置了良好的报告功能。我真的不知道现在还剩下什么其他“安装在 Windows 上的防火墙”——几年前这是一种常见的模式，但如今防火墙已经转移到了设备上，而且似乎下一步要转移到路由器上。

防火墙网关和 IDS

答案1

答案2

答案3

相关内容