snort入侵检测/防御系统

在现在越来越庞大的网络面前，我们的企业网络网络为了实现相对来说的安全都会在企业网与internet之间架设防火墙。但是在有些情况下，防火墙并不能发挥作用。

如上图所示：

企业内网与外网以及服务器所在的DMZ区域

(1)来至于企业内网用户的攻击

(2)内网用户绕过防火墙上网受到攻击，进而是攻击者攻击内网

(3)攻击者通过病毒、木马.....实施攻击

这时候就需要用一些策略来实施监控，让我们在网络出现异常时及时发现，并实施补救措施。早期的IDS（入侵检测系统）就是用来进行监控的，后来发展到IPS（主动防御系统）进一步的可以再进行监控的同时，如果发现异常可以进行一些动作来阻断某些攻击。

IDS分类：

HIDS：软件类的，基于主机（例如Sessionwall和我们今天要讲的snort）

安装到得保护的主机上边，但是考虑到成本的话，我们并不能为每台主机安装这种软件，这就需要把总要的服务器优先安装。

检测内容：（比较细致）

应用层的服务、网络流量、日志、用户行为、重要文件是否被改动

NIDS：硬件类的，基于网络

连接交换机，接收来至于交换机的额数据，不过为了能接收到交换机下的多个主机，应该使用到端口镜像技术，这就需要每台交换机上都部署NIDS。不过如果网络过于庞大的话这种方案成本也比较高。

这就有了后来的RSPAN（远程的交换端口分析），就可以检测到其他交换机的数据信息了。

检测内容：（不够细致）

只能检测到网络7层结构的第四层，像是应用层的服务、病毒.....都检测不到

鉴于此，在实际网络应用中常常两种防御系统结合来使用，在重要的服务器上使用HIDS，而其他主机使用NIDS。

IDS工作原理：

如果是IPS的话，进一步的还会对攻击行为做出阻断动作

开放源代码(Open Source)的入侵检测系统Snort，到现在为止，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention System),即NIDS/NIPS.Snort符合通用公共许可(GPL——GUN General Pubic License),snort基于libpcap。

Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网络入侵检测模式是最复杂的，而且是可配置的。我们可以让snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。

Snort的部署非常灵活，很多操作系统上都可以运行，可以运行在window xp，windows2003，linux等操作系统上。不过考虑到操作系统平台的安全性、稳定性，同时还要考虑与其它应用程序的协同工作的要求。如果入侵检测系统本身都不稳定容易受到攻击，就不能很好的去检测其它安全攻击漏洞了。在Linux与Windows操作系统相比较之下，Linux更加健壮，安全和稳定。Snort的运行，主要是通过各插件协同工作才使其功能强大，所以在部署时选择合适的数据库，Web服务器，图形处理程序软件及版本也非常重要。Snort部署时一般是由传感器层、服务器层、管理员控制台层三层结构组成。传感器层层就是一个网络数据包的嗅探器层，收集网络数据包交给服务器层进行处理，管理员控制台层则主要是显示检测分析结果。部署Snort时可根据企业网络规模的大小，采用三层结构分别部署或采用三层结构集成在一台机器上进行部署，也可采用服务器层与控制台集成的两层结构。