Networking Snort/Suricata网络拓扑-这可以接受吗？

我经营一个小型企业网络，有大约500位的互联网连接，我想介绍一个NIPS（网络入侵防御系统）。我已经确定SNORT或SURICATA是首选软件（可能还有我所知较少的Zeek）。可能与PFSense等有关，待定

Wifi在商业中被大量使用，标准的Windows LAN有线电脑也是如此。目前，我们的基本路由器/调制解调器处理一切

当前网络拓扑：

INTERNET ==> Existing ADSL-like Router/Modem (with DHCP + wifi) ==> Office network infrastructure etc

INTERNET ==> Existing ADSL-like Router/Modem (disable wifi) ==> SNORT/SURICATA Linux Box ==> Spare Standard ADSL-like Router/Modem with DHCP + Wifi enabled ==> Office network infrastructure etc.

我想在Internet路由器之前为这个SNORT/SURICATA机箱插入一个基本的Linux机箱，它有2个或4个内核+4GB的ram和一个基本的1gbps网卡

我想确认以下是引入NIP的好方法：

INTERNET ==> Existing ADSL-like Router/Modem (with DHCP + wifi) ==> Office network infrastructure etc

INTERNET ==> Existing ADSL-like Router/Modem (disable wifi) ==> SNORT/SURICATA Linux Box ==> Spare Standard ADSL-like Router/Modem with DHCP + Wifi enabled ==> Office network infrastructure etc.

所需的网络拓扑：

INTERNET ==> Existing ADSL-like Router/Modem (with DHCP + wifi) ==> Office network infrastructure etc

INTERNET ==> Existing ADSL-like Router/Modem (disable wifi) ==> SNORT/SURICATA Linux Box ==> Spare Standard ADSL-like Router/Modem with DHCP + Wifi enabled ==> Office network infrastructure etc.

问题：此设置是否允许SNORT/SURICATA框（给定默认设置/未启用）执行以下操作：

跟踪WAN流量的LAN源IP地址，包括传出和传入。即“本地计算机局域网IP和远程IP”之间的Torrent连接，而不是“路由器IP和远程IP”

能够登录到SNORT/SURICATA box（无子网疯狂-至少不难解决问题）

这里有什么问题吗

注：这适用于一家拥有20名员工的小型企业，而不是300名员工等。在这种规模下，符合所有最佳实践是不切实际的

我并不热衷于在上面提到的Linux设备中添加WIFI网卡。原因是，在危机中，我希望能够拔下snort盒，将两个路由器连接在一起，并立即为办公室提供互联网，以防盒因任何原因（糟糕的snort规则、硬盘驱动器死机等）而损坏。此外，路由器/调制解调器需要点击才能连接-我不需要加载Putty，如果我不在，其他人很难处理

---

谢谢你的帮助

通过安装pfSense盒（2-4核和4 GB RAM），可以轻松完成您试图完成的设置。您可以从以下链接中选择硬件规格：

---

将suricata配置为在内联IPS模式下运行，您就可以开始了。在配置suricata时，您可以随时请求帮助。

是，它会的。如果您为torrent启用了签名，它将。例如，在suricata中，您可以检查新兴的p2p.rules，在那里可以找到签名。您可以启用签名，然后稍后将操作设置为Drop/Reject/Allow。有了pfSense，您完全可以通过SSH连接到设备中。但我认为你不需要这么做。它有一个相当不错的GUI，你可以用它管理一切。