Snort主機佈署在區網內的方式

入侵檢測系統（Intrusion-detection system「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報的網路安全設備。IDS最早出現在1980年4月。該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告，在其中他提出了IDS的概念。1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。1990年，IDS分化為基於網路的N-IDS和基於主機的H-IDS。後又出現分布式D-IDS。詳情請參考維基 http://zh.wikipedia.org/wiki/入侵检测系统

如果你只是想在區網內建立一台Snort主機做監測
可參考，這兩篇文章建立

Ubutu12.04+Snort 2.9.2+mysql (一)

Ubutu12.04+Snort 2.9.2+mysql (二)

然後找一台有支援port mirroring的 Switch 或 Router，把所有有接線的Port 鏡像到所指定的Port上，連接Snort主機做分析或將Linux主機，架成路由器或安裝bridge套件，成為橋接器，將Snort佈署在上面偵測



被port mirroring指定到的分析主機 , 沒有IP , 從網路中是ping不到的

配置大概像這樣

這種架構是Snort主機個別有獨立的資料庫，後端的管理主機只有監看的功能而已，因為使用port mirroring的接法，資料只有進沒有出，必須在跟後端連線的網路卡上指定一個固定IP
，當成為一個私有網域，一對一時需利用跳線的方式接回管理主機。<<官方說明文件都用這種方式>>

或者讓每台Linux主機成為Snort Sensor 再將Alerts傳回管理主機，做統一管理

參考這篇

ubuntu12.04+Snort+Snortsensor 主從端設置