随着网络的不断发展，网络安全也越来越受到关注，原有的防火墙已经越来越难以独立保障网络的安全，这其中包含很多原因，主要是由于防火墙始终在明处抵挡外来的攻击，黑客针对防火墙的手段不断翻新，让它防不胜防，另一方面，很多攻击来源于网络内部，例如内部用户的越权操作或恶意破坏等，这些都对网络安全构成了极大的威胁。为更全面的保护网络不受攻击，入侵检测系统将发挥出不可替代的作用。首先入侵检测是被动式的，它的传感器节点可以遍布在网络中，攻击者不易觉察，即使有个别点被破坏，也不会全部瘫痪。其次，入侵检测的传感器节点处在内部网络中，可以很好的发现并杜绝内部用户的越权操作。由此可见，将防火墙和入侵检测结合起来使用可以更有效的保证网络安全。

本文将介绍一个轻载的建立在windows平台上的入侵检测系统winsnortacid1.7的安装和使用，所谓轻载是指该软件在运行的时候只占用极少的网络资源，对原有网络性能影响很小。以下将分步介绍winsnortacid1.7的安装过程。

snort是自由软件，可以从Internet上免费下载, 要完整的安装winsnortacid1.7必须先从snort（www.snort.org）的站点上下载以下软件：

Snort (Win32 MySQL Binary!) 1.7.1；
Snort Rules 1.7；
WinPcap 2.2；
MySQL Shareware 3.23.40；
"create_mysql" database creator；
PHP 4.0.6；
ADODB 1.1.2；
ACID 0.9.6b6；
万事俱备后就可以开始安装了。

A、安装Snort MySQL Version 1.7

1. 在C盘生成5个目录："C:\Snort" ， "C:\Snort\PHP”， "C:\Snort\ADODB"， "C:\Snort\Bin" ， "C:\Snort\Logs"；
2. 将Snort (Win32 MySQL Binary!) 1.7.1解压到"C:\Snort\Bin"目录；
3. 将Snort Rules 1.7解压到"C:\Snort\Bin"，覆盖原有的rules；
4. 用写字板打开并编辑C:\Snort\Bin 目录下的snort.conf，找到"var HOME_NET any"语句，如果想监测所有网络，假设主机的IP为10.0.0.20，则改为10.0.0.0/24，如果只想监测本机则改为10.0.0.20/32，不改动则缺省是监测所有的网络；
5. 在snort.conf中查找以下语句：(引号以内)
"output database: log, mysql, user=snort dbname=snort host=localhost"；
如果有同样的语句，就删除掉该句前的注释符”#”，没有就添加这条语句；
6. Snort.conf文件中的每个INCLUDE *.rules文件都必须写上完整的路径。如下例所示： include c:\snort\bin\exploit.rules
7. 安装WinPcap.exe；
8. 重新启动计算机；

B、安装MySQL Database

1. 如果在Windows 2000或XP Server或Advanced Server中运行了终端服务，那就必须从控制面板中的添加/删除中安装MySQL。否则就可以直接双击setup运行；
2. 选择所有的缺省设置，确保安装在c:根目录；
3. 如果一切正常，会在托盘中生成一个MySQL图标。笔者试着装了两次，虽然都没有报错，但也没有在托盘中自动生成小图标。不过，不要紧只要打开c:\ MySQL\bin目录下的winmysqladmin.exe，就都搞掂了；
4. 右键单击托盘中的MySQL图标，选择Show Me；
5. 选择Start Check活页，那里的一切都应该显示ok或yes。如果没有这样，就重新启动一次计算机再检查一次；
6. 选择my.ini setup活页，输入用户名和密码，然后点击Save Modifications按钮，保存修改的文件；
7. 点击Create Shortcut on Start Menu按钮，将在启动组里添加MySQL。以后每次重新启动计算机时，MySQL都会自动启动；

C、生成一个Win32 MySQL database

[1] [2] [3] [4] 下一页