企业很难决定要不要实施入侵检测系统（IDS）。但是IDS要求认真的“照顾和喂养”。而且商务系统的价格也很高。尽管如此，还是存在企业级的开源IDS，叫做Snort。而它目前的已经处于“不能失去”的至高的位置。

　　Snort工具是免费的，而且可以在现在的任何操作系统以及你所有的陈旧的硬件上运行。在Snort IDS上的真正投入是时间和汗水，但是我保证在不到一个星期的时间内，你就可以了解网络中你从来不知道的内容。三个月后，你已经发现了一定数量的网络问题和你不曾知道你有的入侵检测。例如，你可能发现一个错误配置管理工作区，而它在一切上面都使用SNMP社区字符串“public”。我们都知道这样不好，对吧？

　　除了可以了解网络，还可以了解到有趣的恶意代码。有了Snort，规则就变得强大、灵活，也容易编写了，所以删除最新的恶意软件的最新规则通常是由Snort社区的人在发作的其间的几个小时内编写的。在你的本地或实验规则文件中增加一条规则，重启Snort，然后你就可以进行检测、包含并删除任何可以绕过其他安全层的不稳定因素。

　　除了可以从Snort.org和Bleedingsnort.com网站上获得新的Snort规则，你也可以自己编写。可能有需要标记的模糊的应用或者协议，你想要使用Snort实施基于策略的IDS。基于策略在某些特定的环境中运行的强大概念。在这个环境中，你可以确定所有已知和被允许的流量，然后会对其它的任何东西发出警告。尽管如此，确定已知和被允许的流量在所有的环境中非常不容易，但是在简单或者被严密控制的环境中要容易一些，所以基于策略的IDS并不适用于每个人。

　　关于IDS规则中最易被忽略的是他们都是开源的（特定许可可参见Snorg.org和Bleedingsnort.com网站）。讽刺的是，ISS RealSecure和Symantec ManHunt都存在允许使用Snort规则的模块。但是真正的美妙之处在与Snort规则是可读的，而在厂商提供的就不可以。你能获得的最好结果是某些人写的片段，而且是不相同的。对实际规则的访问可以帮你在精确的标准上做出精明的决定，而这些标准可以引发警报和对环境的相关性。

　　不管你安装Snort的需求或理由是什么，我推荐你阅读Snort.org.上的常见问题解答并加入邮件列表（特别是Snort用户）。