要求
我想在 AWS 上保护我的生产 VM,这些 VM 托管关键的 Web 应用程序,并且在高峰时段可以看到大约 500 Mbps 的流量。我已经在使用 mod_security WAF,但我对它不是很满意。
这是我的想法:
如果我可以在轻量级配置中使用 snort 来仅监控 HTTP 流量(这将在 SSL 终止之后)并使用开源 XSS 和 SQLi 规则添加额外的保护层会怎样?规则的数量将 > 100。
当流量到达我的虚拟机时,它将是未加密的。此外,当我在同一主机上使用 snort 时,不会有太大的语义差距(WAF 比 IPS 具有优势,因为它构建了更丰富的应用层上下文并且可以更准确地检测第 7 层攻击)。这种理解正确吗?
我可以节省大约 200Mb 的内存,并且可以在 CPU 性能上占用 10% 的开销。
打鼾是最好的选择吗?我查看了 Suricata,它在 CPU 上似乎更容易,但在内存上却很难。请让我知道这是否有意义。我想坚持开源解决方案。