Snort 使用手册,第 2 部分: 配置
2010-01-25 00:00:00 来源:WEB开发网该文件试图包含一些规则文件,这些行中最主要的一行如下所示:
include $RULE_PATH/local.rules
接下来,要运行 Snort 需要一些可以加载和使用的规则。
告诉 Snort 如何使用规则
规则在 Snort 术语里面就是 Snort 指令;具体来讲,规则就是如何检查、分析或报告包。虽然配置是关于 Snort 如何操作的更加一般化的规则集,但在包每次跨过所监视的网络接口时,规则将告诉 Snort 执行什么操作。
Snort 中的规则由两个基本部分组成:
告诉 Snort 查找包中的特定内容,例如 Web 请求中的 GET 或 telnet 连接中的特定端口。
告诉 Snort 在找到特定内容时执行何种操作。多数情况下仅是触发一个警告,允许您对警告进行响应。
因此对于每一个可能的入侵连接,Snort 都需要使用一条规则(或涵盖多个相关入侵的规则)。这种方法的缺点十分明显:需要处理的入侵太多了。即使是专职网络管理员或系统管理员,也无法应付所有不同的入侵,而且新的入侵每天都会出现。更糟糕的是,如果您是一个小型组织的 Web 开发人员,并且兼管 Snort,或者试图劝说已经满负荷工作的管理员再负责 Snort,这更不可能。所幸的是,Snort 解决了这些问题。
Snort 要求用户必须进行免费注册
大多数 Web 友好的开源项目不会要求您进行注册。但是必须注册 Snort。只有注册后才能免费下载 Snort 提供的默认规则,这也是本文下一小节的主题。访问 Snort 站点,单击 Registration 链接进行注册。
获得 Snort 的默认规则
由于 Snort 是一种技术性的、特定于网络的产品,人们在不断改进 Snort 的同时更新目前流行的入侵类型 —— 以及如何检测并响应这些入侵。每当发布 Snort 的新版本时,将附带一组新的 “默认” 规则集。这个默认规则集基本上涵盖了需要进行保护的所有内容,并且非常简单。
更多精彩
赞助商链接