我应该在我的 Web 服务器上安装 Snort 吗?

我应该在我的 Web 服务器上安装 Snort 吗?

我一直在考虑在我的专用服务器上安装 snort。我有大约 100 个域/客户端。我应该考虑哪些利弊?内存使用情况、带宽影响?

答案1

这个问题有点误导。你先说的是在你的网络服务器上,然后才说是在你的专用服务器上。

WindowsSnort 被认为是一种轻量级 IDS,可以在从到到之间的各种平台上运行Unix。我建议您将它独立安装在类似的东西上,Ubuntu而不是Windows平台上。保持独立也不会干扰服务器上的任何生产功能。您的 IDS 发生故障比您的 Exchange 服务器更容易被容忍。

您的服务器至少需要有一块可以镜像流量的网卡。如果您希望能够通过网络访问 Snort 服务器以进行管理,则必须有第二块网卡。接收镜像流量的网卡将无法进行管理。此外,NIC 卡应与其插入的端口匹配。当插入 1Gb 端口时,10/100 网卡不够用,因为它会丢弃很多数据包。对于管理接口,10/100 是合适的,因为它仅用于管理,而不是用于数据包传输。

虽然Snort它本身对系统要求不高,但如果您使用 GUI 来查看数据,则可能要求很高。 Snorby是 Snort 的常见、流行的 GUI 界面,它有一个使用的 SQL 数据库。硬盘空间是一个常见的问题。太小并且规则集警报太多会很快填满硬盘。如果您想积极维护它,我认为 120 GB 的驱动器在小型环境中就足够了。这还取决于您将看到多少流量以及网络上有多少用户。

Snort 除了可能下载新规则集外,实际上并不影响带宽。镜像端口接收从交换机或路由器镜像的大部分流量,但不会直接转化为带宽使用量。但如果有大量流量通过此设备,并且它无法处理镜像流量的负载,则可能发生这种情况。

相关内容