Comment utiliser Gateway IDS pour protéger la sécurité du réseau interne du serveur CentOS
Résumé : Avec le nombre croissant d'attaques réseau, la protection de la sécurité du réseau interne du serveur est devenue particulièrement importante. Cet article explique comment utiliser la passerelle IDS (Intrusion Detection System) pour protéger la sécurité du réseau interne du serveur CentOS. Nous surveillerons le trafic réseau en configurant un IDS de passerelle et utiliserons un pare-feu basé sur des règles pour empêcher le trafic malveillant d'entrer dans le réseau interne. L'article comprendra également des exemples de code pour aider les lecteurs à mieux comprendre et mettre en œuvre ces mesures de sécurité.
(1) Installez Suricata :
$ sudo yum install epel-release
$ sudo yum install suricata
(2) Configurez Suricata :
$ sudo vi /etc/suricata/suricata.yaml
Dans le fichier de configuration, nous Le comportement de Suricata peut être personnalisé en définissant des ensembles de règles, en activant la journalisation, en configurant des alertes, etc.
(1) Créez une nouvelle chaîne iptables :
$ sudo iptables -N IDS
(2) Directez le trafic des journaux IDS de passerelle vers cette chaîne :
$ sudo iptables -A INPUT -j IDS
(3) Configurez les règles sur la chaîne IDS :
$ sudo iptables -A IDS -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
$ sudo iptables -A IDS -m conntrack --ctstate INVALID - j DROP
$ sudo iptables -A IDS -p tcp --dport 22 -m recent --name ssh --set -m comment --comment "Autoriser SSH"
$ sudo iptables -A IDS -p tcp --dport 22 -m recent - -name ssh --rcheck --seconds 60 --hitcount 4 -j DROP
La signification des règles ci-dessus est la suivante : autoriser le passage des connexions établies et associées, rejeter les connexions invalides, s'il y a 4 connexions SSH consécutives. Si elles sont déclenchées dans les 60 secondes, les connexions SSH sont interdites.
import sys logfile_path = '/var/log/suricata/eve.json' def analyze_logs(): with open(logfile_path, 'r') as logfile: for line in logfile: # 在这里进行日志分析和报警的逻辑 pass if __name__ == '__main__': analyze_logs()
En écrivant une logique appropriée, nous pouvons détecter un trafic anormal, des adresses IP malveillantes et d'autres activités d'attaque potentielles, et émettre des alarmes en temps opportun.
Conclusion :
En utilisant l'ID de passerelle et en configurant les règles de pare-feu, nous pouvons sécuriser le réseau interne du serveur CentOS. Il ne suffit pas d'installer un système IDS, nous devons également mettre régulièrement à jour l'ensemble des règles, surveiller les journaux et fournir des alarmes en temps opportun. Ce n'est que grâce à des mesures de sécurité complètes que le serveur intranet peut être efficacement protégé contre la menace d'attaques réseau.
Matériaux de référence :
(Remarque : l'exemple de code dans cet article est pour référence, veuillez ajuster et tester en fonction de la situation réelle dans l'environnement spécifique)
.Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!