我一直在考虑在我的专用服务器上安装snort。 我有大约100个域名/客户。 我应该在这里考虑利弊呢? 内存使用情况,带宽影响?
这个问题有点误导。 您首先在您的Web服务器上说,而不是在您的专用服务器上说。
尽pipeSnort被认为是一个轻量级的IDS,并且可以运行在从Windows到Unix以及其他任何平台上的各种平台上。 我会build议你安装它,而不是像Ubuntu平台。 保持独立也不会干扰服务器上的任何生产function。 说你的IDS比说你的Exchange服务器更容易忍受。
您的服务器将需要至less有一个网卡,您可以镜像stream量。 如果您希望能够通过networking访问您的Snort服务器进行pipe理,则必须拥有第二张网卡。 接收镜像stream量的网卡将无法进行pipe理。 此外,NIC卡应该与其所插入的端口相匹配。 插入1Gb端口时,10/100网卡将不够用,因为它会丢失很多数据包。 对于pipe理接口,10/100是合适的,因为它只是用于pipe理而不用于数据包stream。
虽然Snort本身并不需要太多的系统需求,但是select用来查看数据的界面GUI可能是用户使用的。 Snorby是Snort常见的stream行GUI界面,它有一个SQL数据库。 硬盘空间将是一个普遍的问题。 如果规模太小,而且规则设置警报太多,则会很快填满硬盘驱动器。 如果你想积极维护它,我想在一个小的环境下,一个120GB的硬盘就足够了。 这也取决于您将看到多lessstream量,以及networking上有多less用户。
Snort并不会影响带宽,也可能下载新的规则集。 镜像端口接收来自交换机或路由器镜像的大量stream量,但不直接转换为带宽使用。 可能发生的情况是,如果有大量的stream量通过此设备,并且无法处理镜像stream量的负载。