我应该在我的 Web 服务器上安装 Snort 吗？

Question

这个问题有点误导。你先说的是在你的网络服务器上，然后才说是在你的专用服务器上。

WindowsSnort 被认为是一种轻量级 IDS，可以在从到到之间的各种平台上运行Unix。我建议您将它独立安装在类似的东西上，Ubuntu而不是Windows平台上。保持独立也不会干扰服务器上的任何生产功能。您的 IDS 发生故障比您的 Exchange 服务器更容易被容忍。

您的服务器至少需要有一块可以镜像流量的网卡。如果您希望能够通过网络访问 Snort 服务器以进行管理，则必须有第二块网卡。接收镜像流量的网卡将无法进行管理。此外，NIC 卡应与其插入的端口匹配。当插入 1Gb 端口时，10/100 网卡不够用，因为它会丢弃很多数据包。对于管理接口，10/100 是合适的，因为它仅用于管理，而不是用于数据包传输。

虽然Snort它本身对系统要求不高，但如果您使用 GUI 来查看数据，则可能要求很高。 Snorby是 Snort 的常见、流行的 GUI 界面，它有一个使用的 SQL 数据库。硬盘空间是一个常见的问题。太小并且规则集警报太多会很快填满硬盘。如果您想积极维护它，我认为 120 GB 的驱动器在小型环境中就足够了。这还取决于您将看到多少流量以及网络上有多少用户。

Snort 除了可能下载新规则集外，实际上并不影响带宽。镜像端口接收从交换机或路由器镜像的大部分流量，但不会直接转化为带宽使用量。但如果有大量流量通过此设备，并且它无法处理镜像流量的负载，则可能发生这种情况。

Answer 1

这个问题有点误导。你先说的是在你的网络服务器上，然后才说是在你的专用服务器上。

WindowsSnort 被认为是一种轻量级 IDS，可以在从到到之间的各种平台上运行Unix。我建议您将它独立安装在类似的东西上，Ubuntu而不是Windows平台上。保持独立也不会干扰服务器上的任何生产功能。您的 IDS 发生故障比您的 Exchange 服务器更容易被容忍。

您的服务器至少需要有一块可以镜像流量的网卡。如果您希望能够通过网络访问 Snort 服务器以进行管理，则必须有第二块网卡。接收镜像流量的网卡将无法进行管理。此外，NIC 卡应与其插入的端口匹配。当插入 1Gb 端口时，10/100 网卡不够用，因为它会丢弃很多数据包。对于管理接口，10/100 是合适的，因为它仅用于管理，而不是用于数据包传输。

虽然Snort它本身对系统要求不高，但如果您使用 GUI 来查看数据，则可能要求很高。 Snorby是 Snort 的常见、流行的 GUI 界面，它有一个使用的 SQL 数据库。硬盘空间是一个常见的问题。太小并且规则集警报太多会很快填满硬盘。如果您想积极维护它，我认为 120 GB 的驱动器在小型环境中就足够了。这还取决于您将看到多少流量以及网络上有多少用户。

Snort 除了可能下载新规则集外，实际上并不影响带宽。镜像端口接收从交换机或路由器镜像的大部分流量，但不会直接转化为带宽使用量。但如果有大量流量通过此设备，并且它无法处理镜像流量的负载，则可能发生这种情况。

我应该在我的 Web 服务器上安装 Snort 吗？

答案1

相关内容