如何配置Snort+主动防火墙

一、 Snort的安装:

Snort的安装十分简单，一般的分为以下几个步骤：

* 首先，确定你的linux系统中已经安装了libpcap库。

* 改写snort的配置文件以满足系统的要求.

* 使用make命令,编译snort的源文件生成二进制可执行文件.

* 使用make install命令,将编辑好的可执行文件安装到指定的位置.

* 根据snort中头文件定义的简单规则,可以编译一些简单的规则文件.

* 使用snort -?命令

* 如果你已经使用了Snort早期的版本，你还需要重新编译所用的规则，使它与现有的规则格式相兼容。

1． 配置选项介绍

./configure --enable-inline

--help看所有配置选项

mkdir /var/log/snort

cd /etc

2.启动snort inline

snort -QDc ../etc/drop.conf -l /var/log/snort

* 将上一条命令写入/etc/rc.d/rc.local

Snort的使用

Snort采取命令行方式运行。格式为：snort -[options] 。options中可选的参数很多，下面逐一介绍。

首先介绍-[options]的内容：

-A 设置告警方式为full,fast或者none。 在full方式下，Snort将传统的告警信息格式写入告警文件，告警内容比较详细。在fast方式下，Snort只将告警时间，告警内容，告警IP地址和端口号写入文件。在none方式下，系统将关闭告警功能。

-a 显示ARP包

-b 以tcpdump的格式将数据包记入日志。 所有的数据包将以二进制格式记入名为snort.log的文件中。这个选项提高了snort的 *** 作速度，因为直接已二进制存储，省略了转换为文本文件的时间，通过-b选项的设置，snort可以在100Mbps的网络上正常工作。

-c 使用配置文件。这是一个规则文件。文件内容主要控制系统哪些包需要记入日志，哪些包需要告警，哪些包可以忽略等。

-C 仅抓取包中的ASCII字符

-d 抓取应用层的数据包

-D 在守护模式下运行Snort。告警信息发送至/var/log/snort.alert，除非特别配置。

-e 显示和记录网络层数据包头信息

-F 从文件中读取BPF过滤信息。

-h 设置(C类IP地址)为内部网络.当使用这个开关时,所有从外部的流量将会有一个方向箭头指向右边,所有从内部的流量将会有一个左箭头.这个选项没有太大的作用,但是可以使显示的包的信息格式比较容易察看.

-i 使用网络接口文件 。

-l 将包信息记录到目录下。设置日志记录的分层目录结构，按接收包的IP地址将抓取的包存储在相应的目录下。

-M 向文件格式非常简单。文件的每一行包含一个目的地址的SMB名。

-n 处理完包后退出。

-N 关闭日志功能。告警功能仍然工作。

-o 改变应用于包的规则的顺序。标准的应用顺序是：Alert->Pass->Log；采用-o选项后，顺序改为：Pass->Alert->Log，允许用户避免使用冗长的BPF命令行来过滤告警规则。

-p 关闭混杂模式的嗅探（sniffing）。这个选项在网络严重拥塞时十分有效。

-r 读取tcpdump生成的文件。Snort将读取和处理这个文件。例如：当你已经得到了一个Shadow文件或者tcpdump格式的文件，想处理文件包含的内容时，这个选项就很有用了。

-s 将告警信息记录到系统日志。在其他的平台下，日志文件可以出现在/var/log/secure, /var/log/messages目录里。

-S ,n=v>设置变量n的值为v。这个选项可以用命令行的方式设置Snort规则文件中的变量。例如：如果要给Snort规则文件中的变量HOME_NET赋值，就可以在命令行下采用这个选项。

-v 将包信息显示到终端时，采用详细模式。这种模式存在一个问题：它的显示速度比较慢，如果你是在IDS网络中使用Snort，最好不要采用详细模式，否则会丢失部分包信息。

-V 显示版本号，并退出。

-x 当收到骚扰IPX包时，显示相关信息。

1。在官网（http://www.snort.org/dl/)

2。选择 Binaries: (Click to view binaries »)

3。选择 win32/

4. 选择 Snort_2_8_3_2_Installer.exe

5。然后下载，安装。

6。snort 要和winpcap 4_0_1 一起用的，即先下载 winpcap, install and run, 然后再装snort.

7. snort 安装以后，是在dos command 里面运行的，即 c:\snort\bin\snort.

8. 由于snort 是基于linux设计的，所以在 c:\snort\ect\snort.con 文件是要用notepad++修改成window 的格式才能工作的。

9。具体问题发邮件到：jack772882@126.com, 我可以发 conf file 给你，哈哈老师刚教的，现买现卖了。

10. winpcap 可以在 http://www.winpcap.org/install/default.htm

下载。

要么yum install snort

要么yum install rpmlib libdnet.1 libpcap.so.1 libsfbpf.so.0,然s后rpm -ivh snort-2.9.2.3-1.RHEL6.I386.RPM

要不rpm -ivh snort-2.9.2.3-1.RHEL6.I386.RPM --nodeps装上，但不一定能用

---