怎样用snort搭建防火墙 选修课考试 拜托了

Snort是一个著名的免费而又功能强大的轻量级入侵检测系统，具有使用简便、轻量级以及封堵效率高等特点，本文从实用操作的角度介绍了如何用Snort保证上网主机的安全。

入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施之后的新一代安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应，它不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。而且，随着网络服务器对安全性要求的不断增大，如何在Linux环境下抵御黑客入侵和攻击，切实保证服务器的安全具有重大的实践意义。

Snort是一个强大的轻量级的免费网络入侵检测系统，其特点如下：

1.轻量级的网络入侵检测系统

Snort虽然功能强大，但其代码非常简洁、短小，源代码压缩包只有1.8M多。

2.Snort的可移植性好

Snort的跨平台性能极佳，目前已经支持类Unix下Linux、Solaris、Freebsd、Irix、HP-ux、微软的Windows2000等服务器系统。

3.Snort的功能非常强大

Snort具有实时流量分析和日志IP网络数据包的能力，能够快速检测网络攻击，及时发出报警。利用XML插件，Snort可以使用SNML（简单网络标志语言）把日志放到一个文件或者适时报警。Snort能够进行协议分析和内容的搜索/匹配，现在Snort能分析的协议有TCP、UDP、ICMP，将来可能增加对ARP、IPX等协议的支持。它能够检测多种方式的攻击和探测，例如缓冲区溢出、秘密端口扫描、CGI攻击、SMB探测、探测存在系统指纹特征的企图等。Snort的日志格式既可以是tcpdump式的二进制格式，也可以解码成ASCⅡ字符格式，更加便于用户尤其是新手检查。使用数据库输出插件，Snort可以把日志记录进数据库。使用TCP流插件，Snort可以对TCP包进行重组。

4.Snort的扩展性较好，对于新的攻击反应迅速

作为一个轻量级的网络入侵检测系统，Snort有足够的扩展能力。它使用一种简单的规则描述语言，最基本的规则只是包含四个域：处理动作、协议、方向、注意的端口