Snort联机模式Inline
时间:2014-11-11
传统意义上讲,Snort是用作入侵检测系统的,但是也可以在网络安全中扮演更主动的角色-用作入侵防御系统,如果使用这种模式,Snort必须指定以这种模式进行编译,而且必须运行在支持iptables的Linux系统上,当联机模式的Snort编译和安装完毕后,就拥有了一个集成了入侵检测系统和防火墙的系统,当Snort以这种模式运行时,有别外3种规则可以使用:
第一种是丢弃-丢弃所有满足规则的数据包,第二种是拒绝,当这个规则被触发时,Snort将向源地址发送TCP连接重围数据包或者ICMP目标不可达消息,以上两种规则均会在Snort日志中记录事件.第三种是"无记录丢弃".Snort不会在日志中记录这个事件,而是直接丢弃数据包.