希望在多个 FreeBSD 防火墙上部署 IDS/IPS,我很好奇 snort 和 suricata 之间的区别。我知道 Suricata 是多线程的,但就规则处理和其他工作原理而言,它们之间有什么真正的区别,可以让我选择其中一个吗?
答案1
主要区别在于 Suricata 在 IPS 模式下使用 GPU。它通常具有更高级的 IPS 模式,包括多任务处理,因此您可以获得高性能,允许在常规硬件上处理高达 10Gbe 的流量。并且它完全支持 Snort 规则。您可以在此处了解有关 Suricata 功能的更多信息:https://suricata-ids.org/features/all-features/
答案2
我曾尝试在单核嵌入式系统(物联网网关)上运行这两个系统,它们做的事情基本相同。一个主要区别是,开箱即用的 Suricata 需要比 SNORT 多得多的 CPU 资源来处理相同数量的流量。