我正在尝试使用 ThreatStop、IPS 创建一个桥接器并阻止一些端口。该桥接器将位于我的服务器前面。除 IPS 外,其他一切都正常。
我已阅读有关配置 IPS 的文档,我配置了一些它没有抱怨的内容,也没有记录任何内容,所以我相信它不起作用。是否可以在 vyatta 桥上设置 IPS?此外,是否可以使用 Snorby 读取日志/事件?
我也在 Vyatta 论坛上发布了此内容
答案1
Vyatta 已从 6.4 中删除了 IPS,并且 3 月 31 日所有版本的 IPS 规则更新均停止工作。
6.4 版常见问题解答中有详细说明
http://www.vyatta.com/files/pdfs/Vyatta_6_4_FAQ_Final.pdf
尽管 ThreatSTOP 不像 SNORT 那样进行基于签名的分析,但它确实能阻止许多相同的攻击,而且比基于签名的 IDS 更有效。
ThreatSTOP 的工作原理是在云端进行检测,ThreatSTOP 系统和数据源会分析恶意软件的行为,找出恶意软件的来源和控制者 IP 地址。然后使用 IP 地址在防火墙上执行强制措施,这比基于签名的检查要高效得多。
这不会像 IDS 那样给防火墙增加负载,也不会引发导致 Vyatta 弃用 IDS 的问题(如上面引用的文档中所述)。