【TechTarget中国原创】Snort有很多配置变量和选择,但是最重要的两个是$HOME_NET和$EXTERNAL_NET。$HOME_NET是详细说明网络或者你想要保护的网络的变量,而$EXTERNAL_NET是你连接的外部的、不受信任的网络。这些变量实际上用于所有的规则,来指定信息包的来源和目的地的标准。
两种变量的默认值是“any”,意思就是字面上的意思。设置$HOME_NET不需要费脑子。把这个变量配置到网络或者你想保护的网络上,就像在snort.conf配置文件中演示的那样。
$EXTERNAL_NET更加灵活,而且有两种管理配置这个变量的方法。第一个是把它设置为默认的“any”,因为这样可以找出多数的事件。第二个方法是选择!$HOME_NET,照字面意思就是不属于$HOME_NET的任何东西,因为这种设置可以减少假阳性,而且可以使Snort的运行更有效。尽管如此,它可能错失内部道内部(例如$HOME_NET到$HOME_NET)的 攻击。因为60%到80%的攻击是内部的,这取决于你阅读的调查,我推荐把$EXTERNAL_NET设置为any。还有,如果$HOME_NET设置为any,就不要把$EXTERNAL_NET设置为!$HOME_NET,因为这样就使$EXTERNAL_NET不做设置。
还有一些其它变量可以详细说明DNS、SMTP、HTTP、SQL、Telnet、 SNMP、AIM服务器、HTTP、SHELLCODE以及 Oracle端口。所有服务器变量的默认值是把他们设置为$HOME_NET,这也是正确设置的另一个原因。这样工作良好,但是你可能发现你可以通过更详细的设置这些变量降低假阳性。如果使用的是不标准的端口,就应该验证端口变量,但是也可以不做处理。