如何用入侵檢測系統保護內網的伺服器

入侵網咖伺服器教程

企業內網的伺服器都存有企業的重要資訊，包括CRM使用者資訊、技術資料等。所以內網伺服器的資訊保安是企業網路管理的重點。內網伺服器不但面臨外來的攻擊，也會受到來自內部的攻擊。在本文中，我將介紹如何用WFilter NGF的入侵防禦模組來保護內網伺服器。網路結構圖如下：

WFilter NGF用網橋部署模式，接在內網和伺服器網段以及網際網路之間，既可以做外網上網行為管理，又可以保護伺服器網段。

1。 開啟入侵防禦

開啟入侵防禦功能，並且對內網攻擊設定為“僅記錄日誌”。

2。 對伺服器網段進行網路掃描

網路攻擊的第一步首先需要進行網路掃描，根據掃描的結果再進行下一步的滲透。如下圖，在kali_linux中，用metasploit中db_nmap命令對伺服器的IP進行網路掃描；可以看到伺服器的開放埠、軟體版本等資訊。

在入侵檢測模組和事件檢視器中，可以看到攻擊事件。如果開啟了告警事件轉發，還可以把告警事件轉發到管理員郵箱。

3。 記錄內網攻擊的日誌並封鎖IP

預設的配置下，入侵防禦只記錄內網攻擊的事件，並不會禁止該內網IP；您可以根據該事件記錄到終端上去查證核實後處理。如果您的伺服器安全要求比較高，可以把“內網攻擊”設定為“記錄日誌並封鎖ip“。這樣配置後，一旦檢測到攻擊，就會立刻封鎖該IP。如圖：

我們再用kali_linux來掃描一下。掃描前先ping伺服器是通的。如圖：

執行掃描後，伺服器就ping不通了，而且掃描出來的資訊少了很多（因為WFilter一檢測到掃描就封鎖了IP，導致後續的掃描不能繼續下去）

在WFilter的”入侵檢測“中，可以看到該IP被封鎖的操作記錄。

經過上述配置，就可以有效的對內網伺服器進行實時保護，從而避免伺服器被內外網惡意攻擊。