如何配置Snort+主动防火墙

一、 Snort的安装:

Snort的安装十分简单，一般的分为以下几个步骤：
* 首先，确定你的linux系统中已经安装了libpcap库。
* 改写snort的配置文件以满足系统的要求.
* 使用make命令,编译snort的源文件生成二进制可执行文件.
* 使用make install命令,将编辑好的可执行文件安装到指定的位置.
* 根据snort中头文件定义的简单规则,可以编译一些简单的规则文件.
* 使用snort -?命令;
* 如果你已经使用了Snort早期的版本，你还需要重新编译所用的规则，使它与现有的规则格式相兼容。
1． 配置选项介绍
./configure --enable-inline
--help看所有配置选项
mkdir /var/log/snort
cd /etc
2.启动snort inline
snort -QDc ../etc/drop.conf -l /var/log/snort
* 将上一条命令写入/etc/rc.d/rc.local
Snort的使用
Snort采取命令行方式运行。格式为：snort -[options] 。options中可选的参数很多，下面逐一介绍。
首先介绍-[options]的内容：
-A 设置告警方式为full,fast或者none。 在full方式下，Snort将传统的告警信息格式写入告警文件，告警内容比较详细。在fast方式下，Snort只将告警时间，告警内容，告警IP地址和端口号写入文件。在none方式下，系统将关闭告警功能。
-a 显示ARP包
-b 以tcpdump的格式将数据包记入日志。 所有的数据包将以二进制格式记入名为snort.log的文件中。这个选项提高了snort的操作速度，因为直接已二进制存储，省略了转换为文本文件的时间，通过-b选项的设置，snort可以在100Mbps的网络上正常工作。
-c 使用配置文件。这是一个规则文件。文件内容主要控制系统哪些包需要记入日志，哪些包需要告警，哪些包可以忽略等。
-C 仅抓取包中的ASCII字符
-d 抓取应用层的数据包
-D 在守护模式下运行Snort。告警信息发送至/var/log/snort.alert，除非特别配置。
-e 显示和记录网络层数据包头信息
-F 从文件中读取BPF过滤信息。
-h 设置(C类IP地址)为内部网络.当使用这个开关时,所有从外部的流量将会有一个方向箭头指向右边,所有从内部的流量将会有一个左箭头.这个选项没有太大的作用,但是可以使显示的包的信息格式比较容易察看.
-i 使用网络接口文件 。
-l 将包信息记录到目录下。设置日志记录的分层目录结构，按接收包的IP地址将抓取的包存储在相应的目录下。
-M 向文件格式非常简单。文件的每一行包含一个目的地址的SMB名。
-n 处理完包后退出。
-N 关闭日志功能。告警功能仍然工作。
-o 改变应用于包的规则的顺序。标准的应用顺序是：Alert->Pass->Log；采用-o选项后，顺序改为：Pass->Alert->Log，允许用户避免使用冗长的BPF命令行来过滤告警规则。
-p 关闭混杂模式的嗅探（sniffing）。这个选项在网络严重拥塞时十分有效。
-r 读取tcpdump生成的文件。Snort将读取和处理这个文件。例如：当你已经得到了一个Shadow文件或者tcpdump格式的文件，想处理文件包含的内容时，这个选项就很有用了。
-s 将告警信息记录到系统日志。在其他的平台下，日志文件可以出现在/var/log/secure, /var/log/messages目录里。
-S ,n=v> 设置变量n的值为v。这个选项可以用命令行的方式设置Snort规则文件中的变量。例如：如果要给Snort规则文件中的变量HOME_NET赋值，就可以在命令行下采用这个选项。
-v 将包信息显示到终端时，采用详细模式。这种模式存在一个问题：它的显示速度比较慢，如果你是在IDS网络中使用Snort，最好不要采用详细模式，否则会丢失部分包信息。
-V 显示版本号，并退出。
-x 当收到骚扰IPX包时，显示相关信息。

Snort的安装: Snort的安装十分简单，一般的分为以下几个步骤： * 首先，确定你的linux系统中已经安装了libpcap库。 * 改写snort的配置文件以满足系统的要求. * 使用make命令,编译snort的源文件生成二进制可执行文件. * 使用make install命...