[求助]有关ids和防火墙联动的问题

在fw上配置一个服务器端，在ids上配置一个客户端，两者建立安全的ssl通信。 当ids检测到攻击包时，组织相关参数（如ip，port，协议，阻断策略等）发送到fw，fw再生成一个命令实施阻断策略。 自定义两者通信的协议，一般采用xml格式进行传递。

谢谢你，但是这个我知道，可以说的更具体些么？估计是我的问题表述的不够清楚： 你说的这个和rfc文档里的idxp很像，但是感觉各个厂商对这东西无视的比较严重，都是自己搞一套联动协议（有可能会参考idxp）然后其他fw来适应。 我希望利用已有的ids设备，接收ids发出的报警数据。现成的ids设备支持opsec、topsec以及cisco的一些设备联动，我希望可以从它已经支持的这些协议中入手（这样通用性会比较好，二次开发的工作量会少很多），去适应ids。 问题点在于服务端的建立这一块，topsec没有完全开放，opsec倒是有开发包，但是下载之后看了思路很混乱。框架缕的比较明白，主要是服务端具体的实现上。 感觉如果开发的话，开发过程中如何测试是个问题（ids设备的配置只是一个选项，ip、端口、证书，然后点ok，结果要么成功，要么失败，中间可以用来调试的信息几乎没有）。就好像现在有了msn的客户端，需要建立服务器，但是开发过程中如何保证服务器从登陆验证到接收转发消息每一步的可靠性，还有各步骤中诸如密钥交换等细节保证正确无误。 手上的资料不是很多，所以想求助做过ids联动这方面（模块）开发的大牛可以指点一二，非常感谢！ 【 在 LittleSun 的大作中提到: 】 : 在fw上配置一个服务器端，在ids上配置一个客户端，两者建立安全的ssl通信。 : 当ids检测到攻击包时，组织相关参数（如ip，port，协议，阻断策略等）发送到fw，fw再生成一个命令实施阻断策略。 : 自定义两者通信的协议，一般采用xml格式进行传递。

不客气。未公开的协议开发起来确实比较困难。 好像天融信的ids也可以通过snmp来获取攻击事件：在客户端经过snmp的配置后，ids可通过网管协议向客户端发送攻击事件消息，所以如果在本地运行一个监听snmp消息的服务进程，能够接收到攻击事件消息，但如果解析该消息的话还需要知道OID以及更多的内部细节。 【 在 hutaow 的大作中提到: 】 : 谢谢你，但是这个我知道，可以说的更具体些么？估计是我的问题表述的不够清楚： : 你说的这个和rfc文档里的idxp很像，但是感觉各个厂商对这东西无视的比较严重，都是自己搞一套联动协议（有可能会参考idxp）然后其他fw来适应。 : 我希望利用已有的ids设备，接收ids发出的报警数据。现成的ids设备支持opsec、topsec以及cisco的一些设备联动，我希望可以从它已经支持的这些协议中入手（这样通用性会比较好，二次开发的工作量会少很多），去适应ids。 : ...................

大赞！！！看到了，其它ids也有，是向其它网络设备发snmp trap，只是我用的这个没有包含额外的信息，具体信息还得再想其它办法去获取。好像ids可以设置外部数据库，这样的话二者结合一下应该就没问题了。只是会比较依赖某个厂商自己的格式，先试试再说~ 再次非常非常感谢！！！！！！！！！！！！！！！！！！！ 【 在 LittleSun (小太阳) 的大作中提到: 】 : 不客气。未公开的协议开发起来确实比较困难。 : 好像天融信的ids也可以通过snmp来获取攻击事件：在客户端经过snmp的配置后，ids可通过网管协议向客户端发送攻击事件消息，所以如果在本地运行一个监听snmp消息的服务进程，能够接收到攻击事件消息，但如果解析该消息的话还需要知道OID以及更多的内部细节。