要求
我想在AWS上保护我的生产虚拟机,这些虚拟机托管关键的Web应用程序,并且在高峰时段可以看到大约500 Mbps的流量。我已经使用了mod_security WAF,但我对此并不满意。
以下是我的想法:
如果我可以在轻量级配置中使用snort来仅监控HTTP流量(这将在SSL终止后面)并使用opensource XSS和SQLi规则来添加额外的保护层,该怎么办?规则的数量将是> 100。
当流量到达我的VM时,它将是未加密的。此外,由于我在同一主机上使用snort,因此不会有太大的语义差距(WAF比IPS更具优势,因为它构建了更丰富的应用层上下文,可以更准确地检测第7层攻击)。这种理解是否正确?
我可以节省大约200Mb的内存,并且可以节省10%的CPU性能开销。
snort是最好的选择吗?我看了Suricata,它似乎在CPU上更容易但在内存上很难。如果这有意义,请告诉我。我想坚持开源解决方案。