21、Snort 规则与 iptables 防火墙的协同应用及 fwsnort 安装指南

Snort 规则与 iptables 防火墙的协同应用及 fwsnort 安装指南

1. Snort 规则现状

目前，近 90% 的 Snort 规则利用flow选项对处于已建立状态的 TCP 连接进行应用程序检查。

2. iptables 防火墙特性

• 状态跟踪机制：iptables 是有状态防火墙，借助连接跟踪功能，不仅为 TCP 连接，也为 UDP 和 ICMP 等无连接协议（通过超时机制）提供连接跟踪机制。虽然它无法独立于网络层源和目的 IP 地址将数据包匹配标准限制在 TCP 连接的流量方向上，但允许规则匹配已建立的 TCP 连接。
• 匹配已建立的 TCP 连接：攻击者难以利用伪造的 TCP ACK 数据包欺骗 iptables 采取行动。要让 iptables 匹配已建立的 TCP 连接，可使用命令行参数-p tcp -m state --state ESTABLISHED。状态匹配还可应用于 TCP 连接的其他阶段，如NEW（匹配 TCP SYN 数据包）和INVALID（匹配无法归类到现有连接的数据包）。示例如下：

[iptablesfw]# iptables -m state -h state v1.3.7 options: [!] --state [INVALID|ESTABLISHED|NEW|RELATED|UNTRACKED