我经营着一个大约 500 兆位互联网连接的小型企业网络,并想引入 NIPS(网络入侵防御系统)。我已将 SNORT 或 SURICATA 确定为首选软件(也许还有我不太了解的 Zeek)。也许与 PFSense 等有关。待定。
Wifi 在业务中被大量使用,标准的 Windows LAN-cable PC 也是如此。目前我们的基本路由器/调制解调器处理一切。
当前网络拓扑:
INTERNET ==> Existing ADSL-like Router/Modem (with DHCP + wifi) ==> Office network infrastructure etc
我想在 Internet 路由器之前为这个 SNORT/SURICATA 盒子插入一个带有 2 或 4 个内核 + 4GB 内存的基本 Linux 盒子和一个基本的 1gbps 网卡。
我想确认以下是引入 NIPS 的好方法:
所需的网络拓扑:
INTERNET ==> Existing ADSL-like Router/Modem (disable wifi) ==> SNORT/SURICATA Linux Box ==> Spare Standard ADSL-like Router/Modem with DHCP + Wifi enabled ==> Office network infrastructure etc.
问题:此设置是否允许 SNORT/SURICATA 框(给定默认设置/未启用任何花哨):
- 跟踪 WAN 流量的 LAN 源 IP 地址,包括传出和传入。即“本地计算机 LAN IP 和远程 IP”之间的 Torrent 连接 -,而不是“路由器 IP 和远程 IP”
- 能够登录到 SNORT/SURICATA 框(没有子网疯狂 - 至少不是超级难解决的问题)
- 这里有什么陷阱吗?
请注意,这适用于拥有 20 名员工而不是 300 名等的小型企业。在这种规模下,遵循所有最佳实践是不切实际的。
我不热衷于在所说的 Linux 机器上添加 WIFI 网卡。原因是,在危机中,我希望能够拔下 snort 盒子并将两个路由器连接在一起,并立即为办公室提供 Internet,以防盒子因任何原因(糟糕的 snort 规则、硬盘驱动器死机等)出现故障. 此外,路由器/调制解调器需要点击才能获得连接 - 我不需要加载 Putty,如果我不在的话,其他任何人都很难处理。
谢谢您的帮助!