入侵檢測系統 (IDS) 在有防火牆的 Web 伺服器上有意義嗎？

我在帶有狀態防火牆的伺服器上執行 Apache，其中新的 IPv4/IPv6 入口連接只允許到 TCP 埠 80 和 443。SSH 只允許來自少數受信任的主機，並且只允許某些 ICMP/ICMPv6 消息和 UDP 目標埠 33434 - 33534（ UDP 模式下的 traceroute）在任何地方都允許。傳出流量沒有防火牆。在伺服器上的這種環境中是否有執行 IDS（例如 Snort）的點？如果是，那麼它會減輕什麼或提供什麼額外的可見性？

這取決於。

如果您的可訪問 Web 埠託管的應用程序已被 pwned 並具有權限提升漏洞。你不會知道的。您的防火牆完成了它的工作，但您的系統（和網路）已被加密。

如果您的防火牆在系統重新啟動時沒有重新啟動，那麼某種 IDS 的安全網可能會提醒您一些行為不端。

如果您不知道存在什麼 0-day，那麼您可能永遠不知道它們何時在您的系統上使用而沒有可見性。

如果這是您的愛好部落格，則沒有必要。如果它是您的 DMZ 和企業網路的入口點 - 可能會更有用一些。

引用自：https://unix.stackexchange.com/questions/523974