Suricata HOME_NET配置问题(SPAN端口)

Question

作为一个项目，我有一个物理防火墙(IP: 10.0.0.2)，它的SPAN端口被配置为运行Suricata的物理linux (CentOS 6) (IP: 10.0.0.3)。

理论上，我应该通过一个名为"span0“的接口接收到该框的所有通信量。我可以通过运行ifconfig来确认这一点，并查看流量。一切都很好。

当运行Suricata时，如下所示: suricata、-c /etc/suricata/suricata.yaml、-i、span0、span0，我没有收到任何错误。也不错。

这里的问题是如何配置suricata.yaml文件。

• ：HOME_NET是10.0.0.2还是10.0.0.0/8?

期待听到您的反馈，Jan (Honza) Novak

Answer 1

我不是一个优秀的IDS安装专家，但我建议配置取决于网络设置。

如果防火墙只是通过自己广播所有内容，那么您应该选择10.0.0.0/8来保护整个网络。另一方面，在这种情况下，网络中的事件可能会被忽略。

如果配置了NAT，那么我建议选择10.0.0.2来跟踪网络内外可能的恶意活动。