怎么做防御系统IPS（防御系统开启）

入侵防御系统(IPS) 是入侵检测系统(IDS) 的增强版本，它不仅可以检测网络流量中的恶意活动，还可以自动采取措施阻止这些活动。实现IPS的主要工具包括Snort和Suricata。以下是使用Snort 和Suricata 实施IPS 的详细步骤。

使用Snort实现IPS

1. 安装Snort

首先，确保您的系统已更新。

须藤百胜更新-y

安装依赖项。

sudo yum install -y epel-release

sudo yum install -y gcc flex bison zlib libpcap pcre libdnet tcpdump libdnet-devel libpcap-devel pcre-devel

下载并安装DAQ。

wget https://www.snort.org/downloads/snort/daq-2.0.6.tar.gz

tar -xvzf daq-2.0.6.tar.gz

cd daq-2.0.6

./configure make sudo make install

光盘.

下载并安装Snort。

wget https://www.snort.org/downloads/snort/snort-2.9.20.tar.gz

tar -xvzf snort-2.9.20.tar.gz

cd snort-2.9.20

./configure make sudo make install

光盘.

2. 配置Snort

创建必要的目录。

须藤mkdir /etc/snort

须藤mkdir /etc/snort/rules

须藤mkdir /var/log/snort

须藤mkdir /usr/local/lib/snort_dynamicrules

复制配置文件。

sudo cp etc/*.conf* /etc/snort/

sudo cp etc/*.map /etc/snort/

sudo cp etc/*.dtd /etc/snort/

编辑主配置文件/etc/snort/snort.conf，根据自己的网络环境和需求进行配置。

3. 下载规则集

下载并解压缩规则集（需要注册）。

wget https://www.snort.org/rules/snortrules-snapshot-29120.tar.gz -O snortrules.tar.gz

tar -xvzf snortrules.tar.gz -C /etc/snort/rules

4. 启用IPS模式

在snort.conf 文件中，找到并配置：

# 配置网络接口

配置接口： eth0

# 设置IPS模式

配置策略模式： 内联

5. 运行Snort作为IPS

运行鼻息。

sudo snort -Q -c /etc/snort/snort.conf -i eth0

使用Suricata实现IPS

1. 安装Suricata

请确保您的系统已更新。

须藤百胜更新-y

安装EPEL 存储库和依赖项。

sudo yum install -y epel-release

须藤yum install -y suricata

2. 配置Suricata

编辑Suricata配置文件/etc/suricata/suricata.yaml，找到并配置以下内容：

af-数据包：

– 接口： eth0

螺纹： 4

集群ID: 99

集群类型： 集群流量

碎片整理： 是

使用-mmap: 是

戒指尺寸： 200000

块尺寸： 65536

缓冲区大小： 8388608

校验和检查： 否

确保IPS 模式已启用。

– 接口： eth0

复制iface: eth1

模式： af 数据包

集群ID: 99

集群类型： 集群流量

碎片整理： 是

使用-mmap: 是

戒指尺寸： 200000

块尺寸： 65536

缓冲区大小： 8388608

校验和检查： 否

3. 下载规则集

下载规则集。

wget https://rules.emergingthreats.net/open/suricata-5.0/emerging.rules.tar.gz

tar -xvzfnew.rules.tar.gz -C /etc/suricata/rules

4. 运行Suricata作为IPS

测试配置文件：

sudo suricata -T -c /etc/suricata/suricata.yaml -v

开始苏里卡塔。

sudo suricata -c /etc/suricata/suricata.yaml -i eth0 –af-packet

集中日志管理和监控

无论您使用哪种IPS工具，我们都建议使用集中式日志管理工具来收集和分析日志数据。例如，您可以使用ELK 堆栈（Elasticsearch、Logstash、Kibana）来集中管理和可视化您的日志数据。

1. 安装Elasticsearch

sudo yum install -y elasticsearch

sudo systemctl 启用elasticsearch

sudo systemctl 启动elasticsearch

2. 安装Logstash

sudo yum install -ylogstash

配置Logstash 以收集Snort 或Suricata 日志。

3. 安装Kibana

sudo yum install -y kibana

sudo systemctl 启用kibana

sudo systemctl 启动Kibana

配置Kibana 以使用Elasticsearch 可视化数据。

总结

通过安装和配置Snort 或Suricata 并将其与集中式日志管理和监控工具相结合，您可以有效地实施入侵防御系统(IPS)，以保护您的系统和网络免受潜在威胁。为了确保IPS 的有效性，定期更新规则集和监控日志数据非常重要。

#防御系统以上关于如何搭建IPS的相关内容摘自互联网，仅供参考。相关信息请参见官方公告。